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Dienstag, 27. Januar 2015, 18 Uhr 

„Das Recht, vergessen zu werden, 
Informationsfreiheit und Datenschutz” 
Diskussionsveranstaltung mit 

Sabine Leutheusser-Schnarrenberger, Paul Nemitz, 
Prof. Dr. Indra Spiecker genannt Döhmann, 

Prof. Dr. Johannes Caspar, Jan Kottmann, 
Diskussionsleitung: Peter Schaar (EAID) 
Veranstaltungsort: Europäische Akademie für 
Informationsfreiheit und Datenschutz 
Bismarckallee 46/48, D-14193 Berlin 

Um Anmeldung per E-Mail an gf@eaid-berlin.de wird 
gebeten. Weitere Informationen www.eaid-berlin.de 


Sonntag, 01.Februar 2015 
Redaktionsschluss DANA 1/2015 
Thema: Mobilität/Telematik 


Dienstag, 03.Februar 2015, 09:00-17:15 Uhr 
Fachtagung Datenschutz in der Medizin 
Datenschutz in der Medizin - Update 2015! 

Hotel Hafen Hamburg, 
http://www.update-bdsg.com/tagung/hamburg/daten- 
schutz-in-der-medizin-update-2015/uebersicht.html 


142 


Dienstag, 24. Februar 2015 

THM-Datenschutztag 2015. 

Themen: Cloud Computing, 

Datenspionage und Google Glass. 

Campus Gießen, Gebäude A 20, Hörsaal 1.36 (1. OG) 
Wiesenstraße 

Info und Anmeldung: http://www.thm.de/datenschutz/ 
datenschutztag/2 14-thm-datenschutztag-2015 


Freitag, 09. Oktober 2015 — 10. Oktober 2015 
DVD-Jahrestagung 
Thema: Mobilität und Telematik (Arbeitstitel) 
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Editorial 


Liebe Leserinnen und Leser, 


Big Data ist ein Heilsversprechen. Krankheiten sollen besser vorhergesagt werden können 
und die Rettung der Erde durch Energieeinsparmaßnahmen wird beteuert. Manche erhoffen 
sich zudem das schnelle Geld durch eine Vorhersagbarkeit der Börsenkurse. Big Data ist je- 
doch auch eine Gefahr für das Individuum. Datenschutzrechte wie das Recht auf Transparenz 
oder zweckgebundene Verwendung von Daten werden grundlegend infrage gestellt. 


Doch was ist eigentlich Big Data? In den meisten Fällen wird Big Data in etwa wie folgt 
beschrieben: Aus verschiedenen Quellen entstehen große Datensammlungen, die andere Aus- 
wertetechniken erfordern und häufig auch neue Zusammenhänge sichtbar werden lassen. Big 
Data ist zunächst ein Sammeln und Aggregieren von Daten zwecks Sichtbar-Machens neuer 
Zusammenhänge. Ein wesentliches Problem: Die Zweckbestimmung steht häufig nicht von 
vornherein fest, sondern ergibt sich vielmehr erst aus dem Ergebnis der Auswertung selbst. 
Außerdem sind die verwendeten Algorithmen oftmals nicht bekannt; sie werden als Ge- 
schäftsgeheimnis gewahrt. Der Einzelne kann die Güte des Algorithmus nicht kontrollieren. 
Mit Big Data-Anwendungen sind zudem auch sog. „Kontrollstrategien‘“ umsetzbar. Durch 
Manipulation eines Objekts sollen positive Ergebnisse erzielt werden. Dies erscheint unkri- 
tisch, wenn es um das Beeinflussen einer Produktionsstraße geht. Ethisch fragwürdig wird die 
Manipulation dann, wenn der Mensch beeinflusst werden soll. 


Höchste Zeit, dass die DVD Big Data eine eigene Ausgabe widmet! Der Journalist Peter 
Welchering verschafft uns in der aktuellen DANA einen Überblick über die Möglichkeiten 
und Risiken von Big Data-Anwendungen. Barbara Körffer widmet sich dem Thema Big Data 
hinsichtlich Auswertungen für Strafverfolgung und Gefahrenabwehr. Robert Malte Ruhland 
behandelt das Thema Mitbestimmungsrechte und überträgt die rechtliche Bewertung auf Big 
Data-Anwendungen. 


Viel Spaß bei der Lektüre wünscht Ihnen 
Jaqueline Rüdiger. 


Autorinnen und Autoren dieser Ausgabe: 


Moritz Eggert 

Moritz Eggert, zeitgenössischer Komponist, zeichnet sich als vielseitiger und innovativer Künstler aus, 
der sich für ein Umdenken im Zugang und Umgang mit zeitgenössischer Musik einsetzt. Er hat bisher 
mehr als 230 — oftmals genreübergreifende — Werke komponiert. Des Weiteren ist er Autor des „Bad 
Blog of Musick“, dem meistgelesenen deutschen Blog über zeitgenössische Musik. 

Erreichbar über: carolin@wildkatpr.com 


Dr. Denis Giffeler 

Informatiker, beschäftigt sich seit über 20 Jahren mit Fragestellungen zum elektronischen Publizieren im 
Internet. 

denis@eves-sport.org 


Barbara Körffer 

Mitarbeiterin des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein. Der Beitrag gibt 
ausschließlich die persönliche Auffassung der Autorin wieder. 

barbara@koerffer.de 


Jonas Plass 

Medienmanager, aktiver Leistungssportler und Teilnehmer an den Olympischen Spielen in London, 
muss sich als Betroffener seit 2006 mit ADAMS auseinandersetzen. 

jonas@eves-sport.org 


Robert Malte Ruhland 

Rechtsanwalt, Sachverständiger für Datenschutz, Compliance-Beauftragter und externer Datenschutzbe- 
auftragter in Dortmund. Rechtsanwaltskanzlei Ruhland, Dortmund 

info@kanzlei-ruhland.de 


Hans-Hermann Schild 

Vorsitzender Richter am Verwaltungsgericht Wiesbaden, befasst sich seit fast dreißig Jahren vielseitig mit 
Themen aus dem Bereich des Rechts auf informationelle Selbstbestimmung und des Datenschutzrechts. 
Erreichbar über die DVD-Geschäftsstelle. 


Dr. iur. Arnold von Bosse 
Rechtsanwalt, Anwaltskanzlei Westphal, Stralsund 
info@anwaltskanzlei-westphal.de 


Peter Welchering 

Journalist für Radio, Fernsehen und Print; publiziert und referiert u. a. zu 
Datenschutzthemen 

peter@welchering.de 
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Peter Welchering 


Vom überwachten Bürger zum gläsernen Menschen — 
Big-Data-Analysen führen zu verblüffenden und teil- 
weise gefährlichen Ergebnissen 


Daten gelten als „Öl des 21. Jahrhun- 
derts“. Und tatsächlich liefern Progno- 
severfahren auf der Grundlage von Big- 
Data-Algorithmen erstaunlich präzise 
Voraussagen. Doch die hier eingesetzten 
Wahrscheinlichkeitsberechnungen ha- 
ben so ihre Tücken. 

Eine deutsche Supermarktkette hat 
durch den Einsatz von Big-Data-Metho- 
den im Jahr 2012 immerhin knapp 90 
Megatonnen leicht verderbliches Obst, 
Gemüse und Frischfleisch weniger ent- 
sorgen müssen. Banken nutzen Big Data 
unter anderem aus sozialen Netzwerken, 
um die Kreditwürdigkeit ihrer Kunden 
besser einschätzen zu können. 

Versicherungen finden mit ihrer neuen 
Analysesoftware auf Massendatenbasis 
gezielter ihre Kunden. Verhaltensprog- 
nosen auf der Grundlage von Big-Data- 
Methoden lassen sich auf vielen Gebie- 
ten anwenden. Modegeschäfte ermitteln 
damit, welche Stilrichtung sich gut ver- 
kauft. Telefongesellschaften finden so 
heraus, welche ihrer Kunden ihren Mo- 
bilfunkvertrag kündigen wollen. 

Personalberatungen in den USA su- 
chen mit diesen Auswertungsmethoden 
geeignete Kandidaten für ganz besonde- 
re Expertenjobs mit sehr speziellen An- 
forderungen. Und Nachrichtendienste 
nutzen Big Data nicht nur für die Mas- 
senüberwachung angeblich im Kampf 
gegen Terrorismus, sondern berechnen 
damit auch das Verhalten fremder Re- 
gierungen. 

So hat die National Security Agency 
die nächsten Schritte der chinesischen 
Regierung in der Auseinandersetzung 
mit Japan um die Senkaku-Inseln im 
ostchinesischen Meer mit einem Simu- 
lationsprogramm auf Big-Data-Basis 
ziemlich präzise prognostiziert. Die 
NSA-Wissenschaftler werteten dafür 
nicht nur sämtliche politischen Beiträge 
in chinesischen Medien über einen Zeit- 
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raum von 16 Wochen aus, sondern auch 
Kommunikations- und Verbindungsda- 
ten hochrangiger chinesischer Politiker 
und Militärs. Außerdem griffen sie auf 
Strategieprofile der chinesischen Marine 
und Luftwaffe zurück, die bei vergleich- 
baren Vorfällen über einen Zeitraum von 
25 Jahren angelegt worden waren. 

Die eingesetzten Algorithmen unter- 
liegen zwar der Geheimhaltung. Aller- 
dings haben für die NSA tätige Mathe- 
matiker ein entsprechendes Analysesys- 
tem auf einer Big-Data-Konferenz im 
kalifornischen Menlo Park im Herbst 
2011 vorgestellt. 


Big Data dominiert die Politikbera- 
tung in den USA 


Das gesamte System besteht aus Soft- 
ware zur Berechnung statistischer Wahr- 
scheinlichkeiten und zur Simulation von 
Entscheidungen. Erfolgskritisch sind die 
festgestellten signifikanten statistischen 
Korrelationen, zum Beispiel zwischen 
einer martialischen Sprache in den Re- 
gierungsverlautbarungen und fehlender 
Risikobereitschaft bei Militäreinsätzen 
oder zwischen einem bestimmten Kom- 
munikationsverhalten und politischen 
Entscheidungen. 

Die NSA-Forscher haben im Falle 
der chinesischen Militärpolitiker etwa 
herausgefunden, dass die Bereitschaft, 
einen bewaffneten Konflikt führen zu 
wollen, sich von unterschiedlichen 
Kommunikationsprofilen ableiten lässt. 
Allein welche Angehörigen welcher 
Interessengruppen im Zentralkomitee 
der Kommunistischen Partei Chinas in 
welcher Intensität mit Mitgliedern der 
eigenen Gruppe oder mit Angehörigen 
anderer fraktioneller Gruppierungen te- 
lefonieren oder mailen, lässt Schlüsse 
auf die Risikobereitschaft für einen be- 
waffneten Konflikt zu. 


Dabei werden sogenannte Inferenzen, 
also Abhängigkeiten auf der Grundlage 
statistischer Wahrscheinlichkeitsberech- 
nungen, ermittelt. Dafür nutzten die 
NSA-Statistiker für ihre Versuche im 
Jahr 2011 einen Höchstleistungsrechner, 
der 16 Billiarden Gleitkommaoperatio- 
nen pro Sekunde schafft und ein System 
von 18 Millionen linearer Gleichungen 
für das Risikoprofil eines Politikers und 
dessen Verhaltensprognose berechnet. 


Aus Wahrscheinlichkeiten werden 
Ursachen 


Allerdings sind diese Prognose-In- 
strumente ein wenig in Verruf gekom- 
men, weil Geheimdienste damit flä- 
chendeckend Menschen überwachen. 
Für die Wirtschaft ist das gefährlich. 
Sie braucht diese Instrumente und geht 
deshalb mit Informationsveranstaltun- 
gen und Diskussion über Big Data in 
die Offensive. „Wir müssen dringend 
darüber diskutieren, wie wir solche 
Big-Data-Anwendungen im Marketing, 
bei den Human Resources und generell 
in der Unternehmensplanung so ge- 
stalten, dass sie tatsächlich konstruktiv 
sind und nicht destruktiv werden“, for- 
dert Thomas Mosch vom IT-Branchen- 
verband BITKOM. 

Die NSA-Affäre hat hier ihre deutli- 
chen Spuren hinterlassen. Immer mehr 
Anwender und Bürger stehen Big-Data- 
Anwendungen kritisch gegenüber, weil 
Geheimdienste sie für flächendeckende 
Überwachung nutzen. Und sie fragen 
sich zunehmend: Wie stark spionieren 
dann auch Unternehmen den Bürger 
aus, wenn sie Big Data für die Marktfor- 
schung oder im Bereich Human Resour- 
ce einsetzen? 

„Eines ist vollkommen unstrittig“, 
meint Professor Felix Wortmann von 
der Universität St. Gallen und fährt fort: 
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„Big Data erschließt ganz neue und bis- 
her nicht gekannte detaillierte Auswer- 
tungs- und Prognosemethoden“. 

Big-Data-Analysen werden immer 
dann angewandt, wenn exakt prognos- 
tiziert werden soll, was Menschen mit 
welcher Wahrscheinlichkeit tun. Dafür 
müssen sehr große Datenmengen erho- 
ben und abgeglichen werden, um die 
wichtigen Verhaltensmuster zu finden 
und auf einzelne Fälle und Fragestellun- 
gen oder bestimmte Gruppen von Men- 
schen anwenden zu können. 


Big Data ist schon ziemlich alt 


Die Methode selbst ist schon recht alt. 
So haben die Vertriebsspezialisten der 
amerikanischen Supermarktkette Wal- 
Mart Ende der 1980er Jahre herausge- 
funden, dass junge Männer, die abends 
Babywindeln einkaufen, auch einen Six- 
pack Bier in den Einkaufswagen legen. 
Diese statistisch signifikante Korrelati- 
on haben sie bei einer Auswertung von 
Kassenzetteln und Kreditkartendaten 
entdeckt. 

Als Konsequenz wurden Sixpacks 
und Windeln nebeneinander in die Re- 
gale gestellt, um den Einkaufkomfort 
für die gestressten jungen Väter zu er- 
höhen. Die dankten das nicht nur durch 
besondere Kundentreue, sondern auch, 
indem sie den einen oder anderen Knab- 
berartikel zusätzlich kauften, der in un- 
mittelbar räumlicher Nähe von Sixpacks 
und Windeln angeboten wurde. 

Wal-Mart entwickelte daraus ein Pro- 
gramm für die Sortimentspräsentation, 
mit dem besonders hohe Abverkaufs- 
zahlen erzielt wurden. Die Zahl der Pa- 
rameter zur Ermittlung der statistisch 
signifikanten Korrelationen war recht 
überschaubar und ließ sich auch mit 
leistungsschwachen Buchhaltungscom- 
putern nebenher berechnen. 

Wesentlich mehr rechnerischen Auf- 
wand musste da schon die Chase Man- 
hattan Bank treiben, als sie ebenfalls 
Ende der 1980er Jahre ein Prognosesys- 
tem entwickelte, um die Insolvenzwahr- 
scheinlichkeit ihrer Kunden besser ab- 
schätzen zu können. Hierfür wurden die 
auffälligsten Korrelationen zwischen 
dem Kauf- und Bezahlungsverhalten 
der Kunden und den tatsächlich einge- 
tretenen Insolvenzen pro Geschäftsjahr 
ermittelt. 
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Im Mittelpunkt steht die Verhaltens- 
prognose 


Dabei ergab sich, dass Kunden, die 
häufiger mit ihrer Kreditkarte Einkäu- 
fe bezahlten, ihre Barabhebungen am 
Bankschalter drastisch reduzierten 
und von teurer Qualitätsware vor allen 
Dingen bei Bekleidung auf Billig- und 
Sonderangebote umstiegen, extrem häu- 
fig zahlungsunfähig wurden. Die Bank- 
manager ließen eine Software für die 
Mustererkennung programmieren, die 
wöchentlich das Kauf- und Zahlungs- 
verhalten der Kunden auswertete und 
daraus einen sogenannten Insolvenz- 
koeffizienten errechnete. Kunden mit 
erhöhter Insolvenzwahrscheinlichkeit 
wurden dann aktiv von ihrem Bankbera- 
ter angesprochen. 

Nach derselben Methode, aber auf 
einer wesentlich größeren Datenbasis 
arbeitet gegenwärtig ein System für 
bessere Kundenbindung, das der Mobil- 
funkanbieter Vodafone betreibt. Damit 
werden die am stärksten wechselwilli- 
gen Kunden identifiziert, denen dann 
bestimmte Bonusprogramme, Freiminu- 
ten oder neue Handymodelle angeboten 
werden, wenn sie ihren Vertrag verlän- 
gern. 

„Grundlage solcher Kundenbin- 
dungsprogramme sind zumeist Kom- 
munikationsdaten“, meint Professor 
Michael Feindt, dessen Blue Yonder 
GmbH wohl die derzeit leistungs- 
stärksten Analysepakete für Big-Data- 
Auswertungen am Markt hat. „Die 
statistisch signifikanten Korrelationen 
werden in einem mehrdimensionalen 
Analyseverfahren ermittelt“, erläutert 
Professor Feindt, der seine ersten Big- 
Data-Analyseprogramme am europäi- 
schen Kernforschungszentrum CERN 
in Genf entwickelt hat. 


Die Prognosegüte der Sicherheitsbe- 
hörden ist miserabel 


Die Prognosegüte hängt dabei auch 
wesentlich von der Fehlerberechnung 
und Plausibilitätsanalyse ab. „Die blo- 
ße Wahrscheinlichkeitsberechnung nur 
der Kriterien zur Ermittlung einer Kor- 
relation reicht nicht“, urteilt Big-Data- 
Spezialist Michael Feindt. Die dafür 
massenhaft erhobenen und ausgewer- 
teten Daten müssen zuvor um einzelne 


Ausreißer bereinigt werden. Und jede 
gefundene Abhängigkeit oder Inferenz 
wird noch einmal auf verschiedene Feh- 
lerfaktoren hin analysiert. 

Auch erste Versicherungen arbeiten 
bereits mit derartigen Analysemethoden. 
Allerdings sind die in der Regel nicht 
von externen Dienstleistern zugekauft, 
sondern von den Versicherungsmathe- 
matikern im eigenen Haus entwickelt. 

Damit konnte eine Versicherungs- 
gesellschaft die Abschlussquote für 
Ausbildungsversicherungen von einem 
einstelligen Wert bei traditionellen Mas- 
senmailings auf deutlich über 90 Pro- 
zent bei Big-Data-gestützten Verfahren 
erhöhen. Dabei wertet nur für diesen 
Zweck entwickelte Suchsoftware sozi- 
ale Netzwerke nach Mitteilungen über 
Neugeborene aus. Eine Identifikations- 
software ermittelt die frischgebackenen 
Eltern, per Geolokalisation wird vollau- 
tomatisch überprüft, ob der Wohnort in 
einem Gebiet mit ausreichendem Kauf- 
kraftindex liegt. 

Zusätzlich wertet eine Mustererken- 
nungssoftware aus, ob die identifizierten 
Eltern aufgrund ihres Kommunikati- 
onsverhaltens eher sicherheitsaffin oder 
risikoaffin sind. Den sicherheitsaffinen 
Eltern wird dann ein individuelles Ange- 
bot einer Ausbildungsversicherung fürs 
Kind unterbreitet. 


Im Kreditgeschäft ist Big Data ge- 
fährlich 


Die Kombination von Verknüpfungs- 
algorithmen zur Erkennung von statis- 
tisch signifikanten Korrelationen mit 
Mustererkennungssoftware zum Ab- 
gleich mit Verhaltensprofilen wird auch 
von Sicherheitsbehörden in der Krimi- 
nalprävention eingesetzt. Die von der 
Europäischen Kommission geförderten 
Indect-Forschungsprojekte sind neben 
den amerikanischen Präventionsprojek- 
ten am weitesten fortgeschritten. 

Dort wird zum Beispiel das Verhalten 
von Reisenden an Bahnhöfen per Ka- 
mera überwacht. Eine Software für die 
Verhaltensprognose schlägt dann Alarm, 
wenn sich ein Reisender verdächtig 
verhält. „Der springende Punkt ist, wie 
dann das sogenannte verdächtige Ver- 
halten definiert wird“, gibt der Berliner 
Computerexperte Benjamin Kees zu be- 
denken. 


145 


Reicht es schon aus, wenn ein einzel- 
ner Reisender sich in seinem Verhalten 
vom Normverhalten der Mehrheit unter- 
scheidet, also zum Beispiel einen etwas 
anderen Weg zum Bahnsteig nimmt als 
der Durchschnitt oder in seiner Körper- 
sprache von einer Norm abweicht? 


Metadatenanalyse sind klassische 
Big-Data-Anwendungen 


Solche Fragen sind vor allen Din- 
gen im Zusammenhang mit der NSA- 
Überwachungsaffäre im Sommer 2014 
wieder stärker diskutiert worden. Denn 
die Überwachungsprogramme der NSA 
werten zum Beispiel die Metadaten zum 
Kommunikationsverhalten der Men- 
schen aus. 

Verbindungsdaten, genutzte Kommu- 
nikationsmedien in ihrer Abfolge und 
Zeitstempel für die Verbindungen sowie 
Aufenthaltsorte sind in der Vergangen- 
heit automatisiert so überwacht worden. 
Alarm wurde dann ausgelöst, wenn das 
Kommunikationsverhalten dem Verhal- 


Barbara Körffer 


tensprofil entsprach, das die Auswerter 
in der Vergangenheit bei Terroristen 
festgestellt hatten. Dann wurde der ein- 
zelne Mensch direkt überwacht, wurden 
seine Mails mitgelesen oder Gesprächs- 
inhalte ausgewertet, sein Computer mit- 
tels Online-Durchsuchung ausgeforscht. 

Doch die ermittelten Verhaltensmus- 
ter mit ihren Verknüpfungen waren nicht 
fein genug. Deshalb haben die Überwa- 
chungscomputer zu oft Alarm ausge- 
löst. Das verursacht Kosten und wurde 
auch zum politischen Problem. Deshalb 
wollen die NSA-Analysten auch hier 
Verhaltensprognosen per Simulation er- 
stellen lassen. Doch was zur Ermittlung 
des wahrscheinlichen Verhaltens einer 
Regierung wie im Falle der Auseinan- 
dersetzung um die Senkaku-Inseln noch 
machbar war, erweist sich bei einer mas- 
senhaften Überwachung zumindest mit 
den bisherigen Rechenkapazitäten als 
nicht realisierbar. 

Immerhin musste für die Verhaltens- 
prognose eines Politikers ein System 
von mindestens 18 Millionen Gleichun- 


gen berechnet werden. Damit sind her- 
kömmliche Supercomputer einige Tage 
beschäftigt. Reduziert man jedoch die 
Berechnungspunkte für das Verhalten 
und kommt so auf ein System von zwei 
bis drei Millionen linearer Gleichungen, 
wird die Verhaltensprognose zu unge- 
nau. 

Deshalb setzen die NSA-Analysten 
auf die Entwicklung neuer Supercompu- 
ter, die zehntausendmal schneller rech- 
nen als die bisher entwickelten. In der 
Zwischenzeit geben sie sich mit einer 
geringeren Trefferquote bei der Verhal- 
tensprognose zufrieden und investieren 
lieber in personalintensive Direktüber- 
wachung oder setzen auf vorsorgliche 
Verhaftung oder Ausweisung, je nach 
Rechtsstatus. 

„Dabei wird bewusst davon abgelenkt, 
dass wir es hier nicht mit Fakten zu tun 
haben, sondern nur mit der Berechnung 
von bloßen Wahrscheinlichkeiten‘“, 
warnt Professor Günter Müller von der 
Universität Freiburg vor der Big-Data- 
Gläubigkeit der Sicherheitsbehörden. 


Auswertung personenbezogener Daten für 
Strafverfolgung und Gefahrenabwehr — genügen die 
gesetzlichen Grundlagen zum Schutz des Rechts 
auf informationelle Selbstbestimmung? 


I. Einführung 


Die Auswertung von Daten, um 
Schwerpunkte und Entwicklung von 
Kriminalität und von Gefahren für die 
öffentliche Sicherheit zu erkennen und 
daraus Einsatzschwerpunkte für die po- 
lizeiliche Arbeit abzuleiten, sowie die 
operative Auswertung von Informati- 
onen aus Strafverfahren, um Zusam- 
menhänge zwischen Taten und Tätern 
zu erkennen und damit Serienstraftaten 
sowie organisierte Kriminalität aufzu- 
klären, ist seit jeher Bestandteil poli- 
zeilicher und kriminalistischer Arbeit. 
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Schritt für Schritt sind diese Prozesse 
in den vergangenen Jahren automati- 
siert worden. Zur Unterstützung der 
Auswertung werden vielerlei automa- 
tisierte Verfahren eingesetzt, die etwa 
die Verbindungen zwischen Tätern, 
Tatbeteiligten, Tatausführungen und 
Objekten herstellen und visualisieren. 
Die fortschreitende Verbreitung von 
Big-Data-Technologien lässt erahnen, 
dass die Entwicklung computergestütz- 
ter Auswertungs- und Ermittlungsar- 
beit noch lange nicht ihr Ende erreicht 
hat. Deutsche Polizeibehörden testen 
bereits Produkte für die Vorhersage 


künftiger Ereignisse, so genanntes pre- 
dictive policing. Solche Vorhersagen 
können auf allgemeine, nicht personen- 
bezogene, Entwicklungen ausgerichtet 
sein, sind aber zumindest in künftigen 
Entwicklungsstufen auch als personen- 
bezogen denkbar. Forschungsvorhaben 
beschäftigen sich mit Möglichkeiten 
der Analyse großer und vielfältiger Da- 
tenmengen, u.a. aus sozialen Netzwer- 
ken, mit Data Mining zur Aufklärung 
von Kriminalität. 

Mit der steigenden Automatisierung 
nehmen auch die Risiken für das Recht 
auf informationelle Selbstbestimmung 
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der Betroffenen zu. Dies beginnt bei 
den Rohdaten, die als Grundlage für die 
Auswertungen verwendet werden. Mit 
steigender Menge und Vielfalt steigt 
das Risiko für Unbeteiligte, in solche 
Auswertungen einbezogen zu werden. 
Dies gilt insbesondere dann, wenn un- 
strukturierte Daten ausgewertet werden, 
da sie häufig nicht nur Informationen 
über Tatverdächtige, sondern auch über 
Dritte enthalten. Fortgesetzt wird die 
Gefährdung durch Auswertemethoden, 
die eigenständig nach Mustern und Zu- 
sammenhängen suchen. Dies wirft nicht 
nur Fragen hinsichtlich der Transparenz 
auf, sondern erhöht die Gefahren für 
Unbeteiligte, durch zufällige Überein- 
stimmung ihrer Verhaltensmuster mit 
den von den Algorithmen als signifikant 
erkannten Mustern als auffällig erkannt 
zu werden. Angesichts dieser Risiken 
und der Verbreitung, die solche Systeme 
zunehmend finden, ist es an der Zeit zu 
fragen, ob und inwieweit das geltende 
Recht ausreichende Schutzmechanis- 
men bietet. 


II. Gesetzliche Befugnisse zur Aus- 
wertung personenbezogener Daten 


Den Kern von Big-Data-Anwendun- 
gen bilden Werkzeuge zur Auswertung 
der Daten. Dabei sind für polizeiliche 
Zwecke unterschiedliche Auswertun- 
gen vorstellbar. Ganz ohne Personen- 
bezug sind strategische Auswertungen 
denkbar, die auf der Grundlage der po- 
lizeilichen Daten und ggf. auch wei- 
terer nicht personenbezogener Daten 
abstrakte Lagebilder erstellen, etwa 
zur Entwicklung bestimmter Krimina- 
litätsphänomene oder zur Entwicklung 
von Kriminalitätsräumen in Städten. 
Solche Anwendungen können auch 
eingesetzt werden, um ohne Perso- 
nenbezug künftige Entwicklungen zu 
prognostizieren. Operative Auswer- 
tungen hingegen sind in der Regel auf 
die Auswertung bestimmter Straftaten, 
Seriendelikte, Tätergruppen, kriminel- 
len Netzwerke und ähnlich personen- 
bezogene Phänomene gerichtet. Hier 
wird eine anonyme Auswertung kaum 
in Betracht kommen. Daher stellt sich 
gerade für diese Auswertungen die 
Frage nach der rechtlichen Zulässig- 
keit, die im Folgenden untersucht wer- 
den soll. 


DANA » Datenschutz Nachrichten 4/2014 


Bild: ClipDealer.de 


1. Nutzung personenbezogener Daten 


Die Auswertung von personenbezoge- 
nen Daten ist ein eigenständiger Grund- 
rechtseingriff und bedarf daher einer 
gesetzlichen Grundlage. Nach den Maß- 
stäben des Bundesdatenschutzgesetzes 
(BDSG) handelt es sich bei der Auswer- 
tung um eine Nutzung personenbezoge- 
ner Daten im Sinne des $ 3 Abs. 5 BDSG. 
Bemerkenswert ist in diesem Zusammen- 
hang, dass die Nutzung erst bei der No- 
vellierung des Bundesdatenschutzgeset- 
zes im Jahr 1990 als eigenständige Pha- 
se der Verwendung personenbezogener 
Daten in das Bundesdatenschutzgesetz 
aufgenommen und so dem Gesetzes- 
vorbehalt unterstellt wurde. Besondere 
Konturen hat diese Phase der Datenver- 
arbeitung seitdem durch den Gesetzgeber 
allerdings nicht erfahren. Nach wie vor 
liegt der Schwerpunkt der Datenschutz- 
regulierung, gerade für die Strafverfol- 
gung und die Gefahrenabwehr, in der 
Phase der Erhebung der Daten. Für die 
Realität der Datenverarbeitung in den 
Jahren 1977 und auch 1990 mag diese 
Schwerpunktsetzung sachgerecht gewe- 
sen sein. Begreift man die Nutzung als 
den bestimmungsgemäßen Gebrauch 
einzelner Daten, ist ihr Eingriffspotential 
gering. Die heutige Realität sieht jedoch 
anders aus und erlaubt technisch bereits 
jetzt umfangreiche Auswertungen perso- 
nenbezogener Daten, die sich nicht auf 
einzelne Daten und nicht auf den Zweck 
beschränken, für den sie erhoben wurden. 

Für Daten aus Strafverfahren erlaubt 
$ 483 StPO die Speicherung und Nut- 
zung in Dateien, soweit dies für Zwe- 
cke des Strafverfahrens erforderlich 


ist. Die Zweckbestimmung bezieht sich 
hier auf das bestimmte Strafverfah- 
ren, für das die Daten erhoben worden 
sind. Dies ergibt sich eindeutig aus dem 
Gesetz selbst, denn $ 483 Abs. 2 StPO 
erlaubt ausdrücklich die Nutzung der 
nach Absatz | gespeicherten Daten für 
andere Strafverfahren. Diese Befugnis 
wäre überflüssig, wenn der Zweck in 
Absatz 1 bereits die Strafverfolgung als 
solche umfassen würde. 


2. Abgleich 


Werden Daten mit anderen Daten ab- 
geglichen, sind für den Abgleich weitere 
Vorschriften zu beachten. Die Strafpro- 
zessordnung unterscheidet zwei Varian- 
ten des Abgleichs: den „einfachen“ Da- 
tenabgleich in $ 98c StPO und die Ras- 
terfahndung in $ 98a StPO. Gleiches gilt 
für die präventiv-polizeilichen Regelun- 
gen in den Polizeigesetzen des Bundes 
und der Länder. Die Regelungen sind im 
Jahr 1992 in die Strafprozessordnung 
aufgenommen worden und seitdem un- 
verändert. Auch die Rechtsprechung hat 
diese Regelungen — mit Ausnahme der 
Einschränkungen der Rasterfahndung 
im  präventiv-polizeilichen Bereich 
durch das Bundesverfassungsgericht — 
nicht weiter ausgeprägt. 


a) Die Rasterfahndung 


$ 98a StPO erlaubt einen maschinellen 
Abgleich von Daten aus mehreren unter- 
schiedlichen Quellen, die nicht von der 
Polizei stammen, sondern bei anderen 
öffentlichen oder von nicht öffentlichen 
Stellen eigens für die Rasterfahndung 
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erhoben werden. Ziel der Maßnahme 
ist der Ausschluss von Nichtverdächti- 
gen oder die Feststellung von Personen, 
die weitere für die Ermittlungen be- 
deutsame Prüfungsmerkmale erfüllen. 
Kennzeichnend für diese Maßnahme 
ist ihre Streubreite. Naturgemäß wird 
eine Vielzahl eigentlich unbeteiligter 
Personen in die Rasterung einbezogen. 
Gegen keine dieser Personen besteht ein 
Tatverdacht, sondern erst durch die Ras- 
terung sollen überhaupt Verdächtige ge- 
funden werden, gegen die im Anschluss 
Ermittlungen geführt werden können. 
Grundrechtseingriffe, die sowohl durch 
Verdachtslosigkeit als auch durch eine 
große Streubreite gekennzeichnet sind — 
bei denen also zahlreiche Personen in 
den Wirkungsbereich einer Maßnahme 
einbezogen werden, die in keiner Bezie- 
hung zu einem konkreten Fehlverhalten 
stehen und den Eingriff durch ihr Ver- 
halten nicht veranlasst haben — weisen 
grundsätzlich eine hohe Eingriffsintensi- 
tät auf. Sie beeinträchtigen nicht nur den 
Einzelnen, sondern auch das Gemein- 
wohl, weil Selbstbestimmung eine ele- 
mentare Funktionsbedingung eines auf 
Handlungs- und Mitwirkungsfähigkeit 
seiner Bürger gegründeten freiheitlichen 
demokratischen Gemeinwesens ist. Sol- 
che Eingriffe bedürfen einer näheren 
Eingrenzung, damit sie als verhältnis- 
mäßig angesehen werden können. Diese 
Eingrenzung nimmt der Gesetzgeber für 
das Strafverfahren dadurch vor, dass 
zureichende tatsächliche Anhaltspunk- 
te für eine Straftat von erheblicher Be- 
deutung nach einem abschließend auf- 
geführten Katalog vorliegen müssen. 
Im präventiv-polizeilichen Bereich darf 
die Rasterfahndung nur bei Vorliegen 
einer konkreten Gefahr durchgeführt 
werden. Hinzu kommen Verfahrenssi- 
cherungen wie die Anordnung durch 
ein Gericht, die Pflicht zur unverzügli- 
chen Löschung der übermittelten Daten 
nach Beendigung des Abgleichs sowie 
die Pflicht zur Unterrichtung der zu- 
ständigen Datenschutzbehörde und zur 
Benachrichtigung der Betroffenen nach 
$ 101 StPO. 

Die Datenauswertung bei der Raster- 
fahndung ist zwar nicht hinsichtlich der 
Quellen und der Menge der einbezoge- 
nen Personen, dafür aber nach der Art der 
für die Rasterung zu verwendenden Da- 
ten begrenzt. In einer ersten Stufe fordert 
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die Polizei- bzw. Strafverfolgungsbehör- 
de von bestimmten Behörden oder Unter- 
nehmen abschließend festgelegte Daten 
über Personen (in der Regel Identifizie- 
rungsmerkmale wie Name, Anschrift, 
Geburtsdatum, Geburtsort) an, die be- 
stimmte — ebenfalls zuvor festgelegte — 
Merkmale erfüllen. Die von den externen 
Stellen übermittelten Daten werden von 
der Polizei bzw. Strafverfolgungsbehörde 
in einer zweiten Stufe miteinander und 
mit polizeilichen Dateien abgeglichen. 
Gegen die daraus entstandene Schnitt- 
menge von Personen werden im An- 
schluss bei hinreichenden Anhaltspunk- 
ten mit regulären Ermittlungsmethoden 
weitere Ermittlungen geführt. 

Somit erlaubt $ 98a StPO die eigent- 
liche polizeiliche Auswertung nur in be- 
grenztem Umfang. Für die Auswertung 
werden nur Daten genutzt, die zuvor 
abschließend festgelegte Kriterien erfül- 
len. In der Regel enthält der so von den 
übermittelnden Stellen selektierte Da- 
tenbestand strukturierte Datensätze mit 
wenigen Merkmalen. 

Der eingangs skizzierte Funktionsum- 
fang von Big-Data-Auswertungen wird 
durch diese Regelung bei weitem nicht 
abgedeckt. $ 98a StPO ist daher keine 
Rechtsgrundlage für offen gestaltete 
Auswertungen auf einer breiten, nicht 
nach Selektionskriterien eingegrenzten, 
Datenbasis. 


b) Der maschinelle Datenabgleich 


aa) Rechtsgrundlagen 

Der maschinelle Abgleich personen- 
bezogener Daten aus Strafverfahren 
ist nach $98c StPO und für Daten aus 
Gefahrenabwehrvorgängen nach den 
Polizeigesetzen der Länder erlaubt. Die 
Regelungen entsprechen einander in 
ihren Voraussetzungen weitgehend. So 
ermächtigt $ 98c StPO die Strafverfol- 
gungsbehörden, zur Aufklärung einer 
Straftat personenbezogene Daten aus 
Strafverfahren mit anderen zur Straf- 
verfolgung oder Strafvollstreckung 
oder zur Gefahrenabwehr gespeicher- 
ten Daten maschinell abzugleichen. Die 
Vorschrift ist materiell weitgehend und 
formell vollständig voraussetzungslos. 
Damit ermächtigt sie nur zu gering- 
fügigen Grundrechtseingriffen. Der 
Abgleich steht einzig unter dem allge- 
meinen Vorbehalt des Verhältnismäßig- 


keitsgrundsatzes, d.h. er muss für den 
in der Norm angegebenen Zweck der 
Strafverfolgung geeignet, erforderlich 
und angemessen sein. Eine weitere Ein- 
schränkung erhält die Befugnis durch 
die Benennung der Daten, die für den 
Abgleich genutzt werden dürfen. Durch 
die Beschränkung auf „Daten aus einem 
Strafverfahren“ und „zur Strafverfol- 
gung, Strafvollstreckung oder Gefah- 
renabwehr gespeicherten Daten“ wird 
klargestellt, dass nur Daten abgeglichen 
werden dürfen, die die Strafverfol- 
gungsbehörden bzw. die Polizei bereits 
im Rahmen ihrer Aufgaben erhoben hat. 
Nach überwiegender Auffassung in der 
strafrechtlichen Literatur folgt daraus 
bereits die Beschränkung auf lediglich 
unbedenkliche Grundrechtseingriffe. 
Dies wird damit begründet, dass „die 
Strafverfolgungsbehörden beim Da- 
tenabgleich lediglich bereits bei ihnen 
bevorratetes Wissen nutzen.“ Diese 
Differenzierung ist wenig nachvollzieh- 
bar und reicht allein nicht aus, um eine 
verhältnismäßige Anwendung des $ 98c 
StPO sicherzustellen. Denn der Um- 
stand, ob die Daten bereits bei der Poli- 
zei vorhanden sind oder eigens für eine 
Auswertung bei anderen Stellen erho- 
ben werden müssten, bedeutet im Ergeb- 
nis keinen gravierenden Unterschied. 
Dabei ist erstens zu berücksichtigen, 
dass letztlich nahezu alle Erkenntnisse, 
die die Polizei zur Strafverfolgung oder 
Gefahrenabwehr ermittelt, aus externen 
Quellen stammen, seien es als Beweis- 
mittel beschlagnahmte Daten, Berichte 
von Zeugen, Daten aus dem Meldere- 
gister,  Telekommunikationsverkehrs- 
daten, Daten über Bankkonten oder 
andere Informationen. Zweitens ist zu 
berücksichtigen, dass solcherlei Infor- 
mationen für laufende Strafverfahren 
bereits in großen Mengen bei der Polizei 
vorhanden sind. Schließlich ist drittens 
zu beachten, dass solche Daten — auch 
wenn sie bereits für ein Strafverfahren 
erhoben wurden — bei weitem nicht nur 
Daten über Tatverdächtige und unmit- 
telbar ermittlungsrelevante Informati- 
onen enthalten. Vielmehr sind gerade 
in unstrukturierten Daten, aber auch in 
strukturierten Daten wie beispielsweise 
den Ergebnissen einer nicht individua- 
lisierten Funkzellenabfrage, häufig In- 
formationen über Dritte enthalten, die 
an der Straftat vollkommen unbeteiligt 
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sind und nur durch Zufall von den Er- 
mittlungen erfasst wurden. Würde man 
eine Auswertung uneingeschränkt unter 
den Voraussetzungen des $ 98c StPO zu- 
lassen, würde dies bedeuten, dass sämt- 
liche bei Polizeibehörden vorhandenen 
Daten auf der Grundlage eines Anfangs- 
verdachts für eine Straftat gegeneinan- 
der abgeglichen werden könnten. Dies 
überstiege den Rahmen des $ 98a StPO 
für die Rasterfahndung bei weitem. 

Dies war offensichtlich bei Einfüh- 
rung der Vorschrift im Jahr 1992 nicht 
beabsichtigt, wenngleich dies weder im 
Gesetz noch in Begründung zum Aus- 
druck gekommen ist, sondern lediglich 
bei Hilger in einer Fußnote klargestellt 
wird: „$$ 98c darf nicht zu einer Um- 
gehung der speziellen, einschränkenden 
Voraussetzungen der $$ 98a, 98b heran- 
gezogen werden: Ist in einem Strafver- 
fahren z.B. eine Datei als Beweismittel 
beschlagnahmt und enthält sie Daten, 
die für ein anderes Verfahren Ausgangs- 
punkt einer Rasterfahndung sein könn- 
ten, so sind insoweit $$ 98a, 98b zu be- 
achten.“ 


bb) Einschränkende Auslegung 

Somit bedarf die Vorschrift zumindest 
einer eingeschränkten Auslegung, da- 
mit sie in verfassungskonformer Weise 
angewandt wird und nicht zu einer Be- 
fugnis für eine polizei-interne „Raster- 
fahndung“ erwächst. Eine sinnvolle Ein- 
schränkung kann erreicht werden, wenn 
man den Begriff der „personenbezoge- 
nen Daten aus einem Strafverfahren“ 
in $ 98c StPO in Abgrenzung zu $ 98a 
StPO begrenzt auf Daten zu Personen, 
gegen die bereits ein Anfangsverdacht 
vorliegt. Dadurch wird die Auswertung 
von vornherein auf Tatverdächtige kon- 
zentriert und eine Auswertung zur Ver- 
dächtigengewinnung — die ja Wesens- 
merkmal der Rasterfahndung ist — wäre 
ausgeschlossen. Eine weitere Eingren- 
zung kann durch Auslegung des Be- 
griffs der „anderen zur Strafverfolgung 
oder Strafvollstreckung oder zur Gefah- 
renabwehr gespeicherten Daten“, der 
Referenzdaten, erreicht werden. Werden 
diese Daten für einen Abgleich genutzt, 
handelt es sich hinsichtlich dieser Da- 
ten um eine Zweckänderung. Denn in 
der Regel werden die Referenzdaten 
nicht mehr für das konkrete Verfahren 
verwendet, für das sie erhoben wurden, 
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sondern für ein neues Verfahren. Eine 
solche Zweckänderung bedarf einer 
gesetzlichen Befugnis, und es ist frag- 
lich, ob $ 98c StPO bereits als ausrei- 
chend bestimmte Rechtsgrundlage für 
die Zweckänderung angesehen werden 
kann. Näher liegt die Annahme, dass nur 
solche Daten für den Abgleich verwen- 
det werden sollen, die bereits für andere 
als die ursprünglichen Zwecke in Datei- 
en gespeichert werden, also etwa Datei- 
en nach $ 484 StPO oder die präventiv- 
polizeilichen INPOL-Dateien wie z.B. 
Fahndungsdateien, Erkennungsdienst- 
datei oder Kriminalaktennachweis. Die 
Speicherung in solchen Dateien setzt 
stets eine Prüfung der Relevanz für die 
jeweiligen Zwecke der Datei voraus. 
Als Beispiel hierfür sei $ 8 BKAG für 
die beim Bundeskriminalamt geführten 
Dateien genannt. Danach dürfen in ers- 
ter Linie Daten von Beschuldigten und 
Verdächtigen gespeichert werden; für 
die Speicherung von Daten, die über 
den Katalog der Grunddaten des $ 8 
Abs. 1 BKAG hinausgehen, ist eine 
Prognose zu treffen, ob Grund zu der 
Annahme besteht, dass der Betroffene 
(erneut) Straftaten begehen wird. Diese 
Dateien unterliegen ihrerseits wiederum 
einer Zweckbestimmung, die in den je- 
weiligen Errichtungsanordnungen nach 
8 490 StPO, $ 34 BKAG oder den Po- 
lizeigesetzen der Länder festgelegt ist. 
Diese Zweckbestimmung ist beim Ab- 
gleich zu berücksichtigen, d.h. ein Ab- 
gleich mit Dateien darf nur im Rahmen 
der Zweckbestimmung dieser Dateien 
vorgenommen werden. 

Schließlich stellt sich die Frage, wel- 
che Art von Auswertungen der Begriff 
des maschinellen Abgleichs in $ 98c 
StPO erlaubt. Zwischen einer einfachen 
Suchanfrage nach dem Namen einer Per- 
son in einer Datenbank und einer kom- 
plexen Auswertung, die eventuell auch 
selbstlernend nach übereinstimmenden 
Mustern sucht, bestehen im Hinblick auf 
die Grundrechtsgefährdung erhebliche 
Unterschiede. So hat das Bundesverfas- 
sungsgericht die ebenfalls ohne qualifi- 
zierte Eingriffsschwellen ausgestaltete 
Nutzungsregelung des $ 5 ATDG für 
die in der Antiterrordatei gespeicherten 
Daten nur deshalb als verfassungskon- 
form angesehen, weil diese Vorschrift 
„lediglich Einzelabfragen, nicht aber 
auch eine Rasterung, Sammelabfragen 


oder die übergreifende Ermittlung von 
Zusammenhängen zwischen Personen 
durch Verknüpfung von Datenfeldern 
erlaubt. Die Vorschrift setze damit ei- 
nen konkreten Ermittlungsanlass vor- 
aus. Auch stehe jede Abfrage unter der 
im Einzelfall sachhaltig zu prüfenden 
Voraussetzung der Erforderlichkeit. Im 
Übrigen ermächtige sie nach ihrer der- 
zeitigen Ausgestaltung weder zu einer 
automatischen Bilderkennung noch zur 
Verwendung von Ähnlichenfunktionen 
oder zur Abfrage mit unvollständigen 
Daten (so genannten „wildcards“). Ob 
diese Grundsätze auf den Datenabgleich 
nach $ 98c StPO und den präventiv- 
polizeilichen nach den Polizeigesetzen 
vollständig übertragbar ist, ist fraglich. 
Dagegen spricht, dass die Datei auf- 
grund der gemeinsamen Nutzung durch 
Polizeibehörden und Nachrichtendiens- 
te eine besondere Eingriffsintensität 
aufweist und dass außerdem jede ein- 
zelne Speicherung in der Antiterrordatei 
aufgrund der damit für den Betroffenen 
verbundenen negativen Konsequenzen 
stets mit einem erheblichen Grund- 
rechtseingriff verbunden ist, der die 
Intensität der Speicherung in anderen 
polizeilichen Dateien übertreffen kann. 
Dafür spricht jedoch, dass die Antiter- 
rordatei im Vergleich zu anderen poli- 
zeilichen Dateien einen nur geringen 
Teil der Bevölkerung abbildet und das 
Gesetz vergleichsweise hohe Schwellen 
für die Speicherung vorsieht. Auch ein 
Vergleich mit Abgleichsvorschriften in 
anderen Gesetzen, wie etwa dem Melde- 
recht, verdeutlicht, dass der Gesetzgeber 
in anderen Fällen die Modalitäten eines 
automatisierten Abgleichs bzw. Abrufs 
durchaus präzise regelt. Somit spricht 
Vieles dafür, dass $ 98c StPO nur ein- 
fache Datenbankabfragen, nicht aber 
komplexere Recherchen und Auswer- 
tungen erlaubt. 

Verfassungsrechtlich besonders pro- 
blematisch sind Auswertungen mit den 
Methoden des Data Mining, die häufig 
Bestandteil moderner Big-Data-An- 
wendungen sind. Selbstlernende Al- 
gorithmen werten Daten nach bislang 
unbekannten Mustern aus und finden 
Zusammenhänge auf der Grundlage 
der von ihnen erkannten Kriterien und 
Muster. Bei solchen Auswertungsver- 
fahren ist nur schwer vorstellbar, wie 
bereits vor Verwendung der Daten die 
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Erforderlichkeit einer Suche festgestellt 
werden kann, wie es der Grundsatz der 
Erforderlichkeit verlangt. Auch an die 
Transparenz stellen diese Auswertungs- 
methoden hohe Anforderungen, da es 
zumindest im Nachhinein möglich sein 
muss, das Zustandekommen des Ergeb- 
nisses vollständig nachvollziehen zu 
können. Damit sind nur zwei der vielen 
Fragen angesprochen, die Big-Data- 
Anwendungen aufwerfen, doch sie ver- 
deutlichen bereits, dass angesichts der 
damit verbundenen Herausforderungen 
für die Gewährleistung des Rechts auf 
informationelle Selbstbestimmung eine 
schlichte Befugnisnorm wie $ 98c StPO 
nicht ausreichen kann, um solche An- 
wendungen zu erlauben. 


3. Nutzung von Daten aus öffentlich 
zugänglichen Quellen 


Dieselben Grundsätze gelten, soweit 
personenbezogene Daten aus allgemein 
zugänglichen Quellen genutzt werden. 
Von praktischer Bedeutung ist dies vor 
allem für die im Internet veröffentlich- 
ten Daten. Diese Daten fallen unter den 
Schutz der Datenschutzgesetze und un- 
terliegen ebenfalls einer Zweckbindung, 
wie $ 14 Abs. 2 Nr. 5 BDSG klarstellt. 
Die bloße Kenntnisnahme von Infor- 
mationen, die z.B. im Internet veröf- 
fentlicht sind, mag die Schwelle zum 
Grundrechtseingriff noch nicht errei- 
chen. Werden personenbezogene Daten 
aus allgemein zugänglichen Quellen 
aber gezielt zusammengetragen, gespei- 
chert und gegebenenfalls unter Hinzu- 
ziehung weiterer Daten ausgewertet und 
ergibt sich daraus eine besondere Gefah- 
renlage für die Persönlichkeit des Be- 
troffenen, liegt ein Eingriff in das Recht 
auf informationelle Selbstbestimmung 
vor. Die gezielte Speicherung von per- 
sonenbezogenen Daten aus dem Internet 
ist damit als Grundrechtseingriff anzu- 
sehen, für die Auswertung solcher Daten 
und den Abgleich mit anderen Daten und 
Dateien gilt dies ebenfalls. Eine beson- 
dere Gefahrenlage für die Persönlichkeit 
des Betroffenen, die nach der Entschei- 
dung des Bundesverfassungsgerichts für 
den Grundrechtseingriff ebenfalls aus- 
schlaggebend sein soll, ist bei Informa- 
tionen aus dem Internet schnell erreicht. 
Bereits die allgemein zugänglichen In- 
formationen aus dem Internet sind häu- 
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fig so vielfältig, dass aus ihnen schon 
aussagekräftige Profile über Personen 
erstellt werden können. Durch Verknüp- 
fung mit anderen Daten können diese 
Profile weiter angereichert werden, was 
die Gefahrenlage nochmals erhöht. Für 
den Abgleich personenbezogener Daten 
aus dem Internet mit polizeilichen Daten 
bedarf es daher einer Rechtsgrundlage. 
$ 98c StPO kommt hier in Betracht, es 
sind aber dieselben Einschränkungen zu 
beachten wie beim Abgleich anderer im 
Strafverfahren gewonnenen Daten. Dies 
verbietet einen anlasslosen Abgleich von 
allgemein zugänglichen Daten und den 
Abgleich von Daten solcher Personen, 
die nicht als Verursacher einer Straftat 
oder Gefahr in Betracht kommen. 


4. Transparenz der Auswertung 


Die Transparenz der Datenverarbei- 
tung für die Betroffenen ist eine der 
wesentlichen Voraussetzungen dafür, 
dass informationelle Selbstbestimmung 
gewährleistet werden kann. Doch nicht 
nur für die Betroffenen ist Transparenz 
von Bedeutung, sondern zunächst vor 
allem für die verantwortliche Stelle 
selbst. Da das Datenschutzrecht nega- 
tive Entscheidungen für Betroffene, die 
ausschließlich auf einer automatisierten 
Verarbeitung von Persönlichkeitsmerk- 
malen beruhen, verbietet ($ 6a BDSG), 
kann das Ergebnis einer automatisierten 
Auswertung stets nur vorbereitend oder 
unterstützend für die endgültige Ent- 
scheidung durch den Sachbearbeiter he- 
rangezogen werden. Dafür muss es voll- 
ständig transparent und nachvollziehbar 
sein. Auch dem Betroffenen muss das 
Ergebnis der automatisierten Auswer- 
tung und sein Zustandekommen offen 
gelegt werden, damit sich er nach den 
Grundsätzen des rechtsstaatlichen Ver- 
fahrens dagegen verteidigen kann. 


IH. Ergebnis und Ausblick 


Die Strafprozessordnung und die Po- 
lizeigesetze erlauben Auswertungen nur 
in einem engen Rahmen. Externe Daten 
dürfen nur stark eingeschränkt ausge- 
wertet werden. Nach Maßgabe der Vor- 
schriften über die Rasterfahndung dür- 
fen externe Daten ausgewertet werden, 
die nach festgelegten Kriterien von fest- 
gelegten Stellen vorselektiert wurden. 


Nach den Vorschriften über den maschi- 
nellen Datenabgleich dürfen nur Daten 
ausgewertet werden, die bereits für ein 
Strafverfahren erhoben wurden und Tat- 
verdächtige betreffen. Komplexe Analy- 
sen großer und vielfältiger Datenmen- 
gen mit Data-Mining-Methoden können 
darauf nicht gestützt werden. Es drängt 
sich bereits die Frage auf, ob sie für alle 
gegenwärtigen Formen der polizeilichen 
Datenauswertungen ausreichend sind. 
Soll die Zukunft der Polizeiarbeit in der 
automatisierten Auswertung von Daten, 
unterstützt durch intelligente Systeme, 
liegen, kann und darf diese Entschei- 
dung nicht ohne den Gesetzgeber ge- 
troffen werden. 

Die geltenden Gesetze, die im Bereich 
der Datenerhebung in den letzten Jahren 
ständig aktualisiert und auf jede neue Er- 
hebungsmaßnahme angepasst wurden, 
sind für die Phase der Nutzung der Daten 
seit 1992 unverändert geblieben. Für eine 
weitergehende Automatisierung polizei- 
licher Arbeit wären klare und begrenzen- 
de Eingriffsbefugnisse zu formulieren, 
damit der Schutz des Rechts auf informa- 
tionelle Selbstbestimmung auch bei Big- 
Data-Anwendungen gewährleistet wird. 
Eine uneingeschränkte Nutzung von Big- 
Data-Anwendungen wird jedoch auch 
durch Gesetze nicht zugelassen werden 
können. Hier gibt es verfassungsrechtli- 
che Grenzen zu beachten, die dem ent- 
gegenstehen. Auf Eingriffsschwellen, die 
einen Anlass für die Maßnahme voraus- 
setzen, kann nicht verzichtet werden. Das 
Bundesverfassungsgericht hat mehrfach 
verdeutlicht, dass es keine vollständig 
anlasslosen Maßnahmen geben darf. So 
wäre etwa der Einsatz der Befugnisse des 
Bundesnachrichtendienstes, verdachtslos 
Fernmeldeverkehre zu überwachen und 
sie durch Abgleich mit Suchbegriffen 
auszuwerten, für Zwecke der personen- 
bezogenen Risikoabwehr im Bereich der 
inneren Sicherheit in jedem Fall unver- 
hältnismäßig und damit verfassungswid- 
rig. Dass die Maßnahme selbst durch ei- 
nen hinreichenden Anlass gerechtfertigt 
sein muss, bedingt zwar noch nicht, dass 
auch die davon betroffenen Personen in 
einem Zusammenhang zu diesem Anlass 
stehen müssen. Solche Maßnahmen, die 
sich gegen eine Vielzahl von Unbeteilig- 
ten richten, müssen aber durch Gesetz auf 
das absolut notwendige Maß beschränkt 
werden. 
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Robert Malte Ruhland 


Big Data und Mitbestimmung 


Der Beitrag stellt eine allgemei- 
ne Einführung und eine allgemeine 
Übersicht über Big-Data-Anwendun- 
gen mit personenbezogenen Beschäf- 
tigtendaten dar, zeigt die möglichen 
Rechte der Belegschaftsvertretungen 
und gibt Hinweise für einen verhält- 
nismäßigen und rechtmäßigen Um- 
gang mit Beschäftigtendaten sowie 
Beispiele für Big-Data-Anwendungen 
mit Beschäftigtendaten. 


Zurzeit kommen Big-Data-Anwen- 
dungen, die auf Beschäftigtendaten ba- 
sieren, insbesondere in den Bereichen 
des Recruitings, Talent Managements, 
der Personalplanung und der Leistungs- 
messung zum Einsatz. 

In einigen Big-Data-Anwendungen 
werden diese Daten dann zu nicht per- 
sonenbezogenen Daten in Korrelation 
gesetzt. Diese Daten können in Big-Da- 
ta-Anwendungen regelmäßig zur Erfas- 
sung des Ist-Zustandes, vor allem aber 
auch für prognostische Entscheidungen 
genutzt werden. 

Big-Data-Anwendungen können aber 
darüber hinaus beispielsweise auch ge- 
nutzt werden um den Wahrheitsgehalt 
von Z. B. verschriftlichten Aussagen zu 
messen. Dies ist natürlich umso leichter, 
je mehr Kommunikation des Beschäftig- 
ten als Vergleichsmaterial vorhanden ist. 
Man denke in diesem Zusammenhang 
beispielsweise an archivierte E-Mails, 
Einträge in sozialen Netzwerken oder 
an geschäftliche Korrespondenz. Durch 
die Analyse der Art der Kommunikati- 
on, insbesondere in Abhängigkeit von 
bestimmten Faktoren wie z. B. Inhalt, 
Kommunikationspartner, Wichtigkeit 
der Kommunikation, persönliche Mei- 
nung des Autors zum Inhalt etc., lassen 
sich nun Aussagen beispielsweise über 
den Wahrheitsgehalt der entsprechenden 
Inhalte treffen. Auch daran wird, wie an 
vielen Big-Data-Anwendungen, zurzeit 
noch geforscht. ! 

Nach einer repräsentativen Umfrage 
des Unternehmensverbandes BITKOM 
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aus Mai 2014 verarbeiten die befragten 
Unternehmen durchschnittlich nur 26 % 
anonymisierte Daten, wobei sich diese 
Aussage wohl ausschließlich auf Kun- 
dendaten bezieht. 


1 Zuständigkeit der Beschäftigten- 
vertretungen 


Je nachdem, ob das Betriebsverfas- 
sungsgesetz (BetrVG) oder das Bundes- 
personalvertretungsgesetz (BPersVG) 
anwendbar ist, kommen dem Betriebs- 
bzw. Personalrat umfangreiche Rechte 
zu. Dabei handelt es sich insbesondere 
um Informationsrechte ($ 90 BetrVG), 
Überwachungspflichten ($ 80 Abs. 1 
BetrVG, $ 68 Abs. | BPersVG) und Mit- 
bestimmungsrechte ($ 87 BetrVG, $ 75 
BPersVG). All diese Vorschriften haben 
als Anknüpfungspunkt den „Arbeitneh- 
mer“ zum Gegenstand. Eine Zuständig- 
keit der Belegschaftsvertretungen ergibt 
sich demnach bei Big-Data-Anwendun- 
gen nur, wenn die Daten noch als „Daten 
der Arbeitnehmer“ in diesem Sinne er- 
kennbar sind. Oder anders ausgedrückt: 
Handelt es sich nicht um personenbe- 
zogene Daten im Sinne des $ 3 Abs. 1 


BDSG, fehlt es auch regelmäßig an der 
Zuständigkeit der Belegschaftsvertre- 
tungen. Da, wo Big-Data-Anwendungen 
Daten ohne Personenbezug verarbeiten, 
ist also für die Mitsprache durch Be- 
legschaftsvertretungen regelmäßig kein 
Platz, aber auch keine Notwendigkeit. 
Anonymisierungen von Daten sind al- 
lerdings nur ausreichend, wenn eine 
Deanonymisierung ausgeschlossen ist. 
Die letzten Jahre haben jedoch gezeigt, 
dass es immer wieder gelungen ist, an- 
onymisierte Daten zu deanonymisieren 
und bestimmten Personen zuzuordnen.* 


1.1 Informationsrechte der 
Belegschaftsvertretungen 


Das in zeitlicher Hinsicht als erstes 
in Frage kommende Recht bei der Pla- 
nung von Big-Data-Anwendungen mit 
personenbezogenen Daten der Beschäf- 
tigten ist das Informationsrecht des Be- 
triebsrates. So schreibt beispielsweise 
$ 90 BetrVG vor, dass der Arbeitgeber 
den Betriebsrat über die Planung von 
technischen Anlagen „rechtzeitig und 
unter Vorlage der erforderlichen Unter- 
lagen“ zu unterrichten hat. $ 90 BetrVG 
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ist allerdings nur anwendbar, wenn die 
geplante technische Anlage, wozu auch 
DV-Technologien gehören können, dem 
Arbeitsablauf dient, wobei ausreichend 
ist, dass dies nur mittelbar geschieht.’ 
Ob einzelne Big-Data-Anwendungen 
mindestens mittelbar einem Arbeitsab- 
lauf dienen, kann nicht pauschal beant- 
wortet werden. Dies wird im Einzelfall 
zu prüfen sein. Wie aber bereits gezeigt, 
werden einige Big-Data-Anwendungen 
im betrieblichen Bereich gerade zur 
Optimierung von Arbeitsabläufen ein- 
gesetzt. Zumindest dann haben Big- 
Data-Anwendungen Einfluss auf Ar- 
beitsabläufe und unterliegen somit der 
Informationspflicht des $ 90 BetrVG. 
Wichtig bei dieser Vorschrift ist, dass 
der Arbeitgeber die Belegschaftsver- 
tretung bereits in der Planungsphase 
„rechtzeitig“ zu informieren hat. Die 
Information muss dabei so frühzeitig 
wie möglich erfolgen.” Der späteste 
Zeitpunkt ist dabei der, zu dem der Ar- 
beitgeber noch Alternativen überlegt, 
also noch Einfluss auf die Entscheidung 
genommen werden kann.‘ Dabei hat die 
Unterrichtung so zeitig zu erfolgen, dass 
der Betriebsrat noch in die Lage versetzt 
wird, eigene Vorschläge und Bedenken 
zu entwickeln und diese Vorstellun- 
gen in den Entscheidungsprozess des 
Arbeitgebers so einzubringen, dass sie 
bei der Planung berücksichtigt werden 
können. Der Betriebsrat ist mithin spä- 
testens dann zu informieren, wenn fest- 
steht, dass Maßnahmen getroffen wer- 
den sollen bzw. diese ernsthaft erwogen 
werden.’ Dabei ist zu beachten, dass auf 
den Informations- und Beratungsan- 
spruch des Betriebsrates nicht wirksam 
verzichtet werden kann. Auch eine Ver- 
wirkung dieses Rechtes kommt nicht in 
Betracht.* Die Unterrichtung hat unter 
Vorlage aller erforderlichen Unterlagen 
zu erfolgen. Diese hat der Arbeitgeber 
dem Betriebsrat unaufgefordert vorzu- 
legen.’ Bei dem Informationsrecht nach 
8 90 BetrVG handelt es sich mithin nicht 
um eine Holschuld des Betriebsrates, 
sondern um eine Bringschuld des Ar- 
beitgebers. Dabei müssen alle wesent- 
lichen Tatsachen, Einschätzungen und 
Bewertungen grundsätzlich in deutscher 
Sprache vorgelegt werden." 

Wenn im Rahmen der Big-Data- 
Anwendungen personenbezogene Be- 
schäftigtendaten in der Form verarbeitet 
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werden sollen, dass die Persönlichkeit 
des Beschäftigten, insbesondere seine 
Fähigkeiten, seine Leistungen oder sein 
Verhalten ohne eine gesetzliche Ver- 
pflichtung oder ohne dass eine wirksame 
Einwilligung des Beschäftigten vorliegt, 
bewertet werden, bedarf die Inbetrieb- 
nahme der entsprechenden Anwendung 
einer Vorabkontrolle im Sinne des $ 4d 
Abs. 5 Nr. 2 BDSG. Gleiches gilt für die 
Bearbeitung besonders sensibler Daten 
im Sinne des $ 3 Abs. 9 BDSG ohne ge- 
setzliche Notwendigkeit. 

Erfüllt der Arbeitgeber seine Infor- 
mationspflicht überhaupt nicht, unvoll- 
ständig oder wahrheitswidrig, droht 
eine Ordnungswidrigkeit nach $ 121 
BetrVG. Besteht dagegen zwischen dem 
Arbeitgeber und dem Betriebsrat Streit, 
ob eine Big-Data-Anwendung über- 
haupt unter den Anwendungsbereich 
des $ 90 BetrVG zu subsummieren ist, 
entscheidet das Arbeitsgericht im Be- 
schlussverfahren. Die beharrliche und 
wiederholte Weigerung des Arbeitge- 
bers, den Betriebsrat trotz einer beste- 
henden Notwendigkeit rechtzeitig und 
umfassend zu unterrichten, kann Unter- 
lassungsansprüche gemäß $ 23 Abs. 3 
BetrVG nach sich ziehen. 


1.2 Mitbestimmungsrechte der 
Belegschaftsvertretungen 


Nach $ 87 BetrVG und $ 75 BPersVG 
stehen den Belegschaftsvertretungen 
umfangreiche Mitbestimmungsrechte 
zu. Das Mitbestimmungsrecht beinhal- 
tet u. a. das Recht, Betriebsvereinbarun- 
gen bzw. Personalvereinbarungen mit 
dem Arbeitgeber bzw. Dienstherrn zu 
verhandeln und abzuschließen. Gemäß $ 
87 Abs. I Nr. 6 BetrVG und $ 75 Abs. 3 
Nr. 17 BPersVG besteht ein Mitbestim- 
mungsrecht bei der Einführung und 
Anwendung technischer Einrichtungen, 
die „dazu bestimmt“ sind, das Verhalten 
oder die Leistung der Beschäftigten zu 
überwachen. 

DV-Anlagen gehören zu technischen 
Einrichtungen in diesem Sinne, wo- 
bei nach mittlerweile durchgesetzter 
Meinung auf die Einheit von Rechner 
und Programm als technische Einrich- 
tung abzustellen ist.'' Das Vorliegen 
des Merkmals „technische Einrich- 
tung“ wird auch dann zu bejahen sein, 
wenn bei einem modular aufgebauten 


EDV-System, welches beim Arbeitge- 
ber bereits vorhanden ist, lediglich ein 
weiteres Modul, welches nun Big-Data- 
Anwendungen beinhaltet, hinzugekauft 
wird. 

In der betrieblichen Praxis häufig rele- 
vant ist dabei die Frage, inwieweit bloße 
„Lestläufe“ oder „Pilotphasen“ bereits 
dem Mitbestimmungstatbestand unter- 
fallen. Häufig wird von Arbeitgeberseite 
damit argumentiert, dass eine Mitbe- 
stimmungspflichtigkeit entfiele, da es 
sich noch nicht um einen Echtbetrieb, 
sondern lediglich um einen Testbetrieb 
handele. Zudem werde das System nur 
mit einzelnen Daten getestet und noch 
nicht konzernweit eingesetzt und der 
Test sei auch nur auf wenige Tage oder 
Wochen begrenzt. 

Zu dieser Argumentation sollte man 
wissen, dass das Mitbestimmungsrecht 
unabhängig von einem personellen, 
räumlichen oder zeitlichen Umfang 
der jeweiligen Anwendung besteht. 
Entsprechende Ausschlusstatbestände 
existieren gerade nicht im Gesetz. Für 
die Mitbestimmungspflichtigkeit ist es 
allein erheblich, ob die Softwareanwen- 
dung mit echten Daten realer Beschäf- 
tigten oder mit Testdaten durchgeführt 
wird. Wird das System auch nur mit 
Daten weniger Beschäftigter betrieben, 
kommt eine Mitbestimmungspflicht 
in Betracht. Weder der zuständige Be- 
triebsrat noch der Arbeitgeber werden 
aber zu diesem Zeitpunkt in der Lage 
sein, eine vollständig ausformulierte 
Betriebsvereinbarung abzuschließen. 
Für den Abschluss einer Betriebsverein- 
barung relevante Fragen werden sich zu 
diesem Zeitpunkt des Tests des Systems 
auch noch gar nicht beantworten lassen. 
Oftmals dienen Testphasen gerade dazu, 
die in einer Betriebsvereinbarung zu re- 
gelnden Sachverhalte näher zu untersu- 
chen. 

Ferner besteht eine Mitbestimmungs- 
pflichtigkeit bei diesem Tatbestand nur 
dann, wenn die DV-Anwendung dazu 
„bestimmt“ ist, das Verhalten oder die 
Leistung des Arbeitnehmers zu über- 
wachen. Seit langem ist anerkannt, 
dass eine technische Einrichtung dann 
zur Überwachung bestimmt ist, wenn 
sie objektiv dazu geeignet ist.'” Diese 
Erkenntnis ist für die Prüfung der Mit- 
bestimmungspflichtigkeit von enormer 
Wichtigkeit. Häufig vertreten Arbeit- 
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geber die Ansicht, dass eine Mitbe- 
stimmungspflichtigkeit nach diesem 
Tatbestand nicht vorläge, da sie be- 
stimmte Reporting-Funktionen, die die 
angeschaffte Software zwar theoretisch 
bietet, tatsächlich nicht nutzen würden. 
Dies ist für die Bejahung des Mitbe- 
stimmungstatbestandes jedoch uner- 
heblich. Nach der Rechtsprechung des 
Bundesarbeitsgerichtes (BAG) kommt 
es lediglich auf die objektive Geeignet- 
heit der technischen Einrichtung an und 
nicht auf den subjektiven Einsatzwillen 
oder Einsatzzweck seitens des Arbeit- 
gebers. 

Es ist allerdings möglich und emp- 
fiehlt sich auch in der entsprechenden 
Betriebs- bzw. Personalvereinbarung in 
einer sogenannten Positivliste die Aus- 
wertungsmöglichkeiten explizit zu nen- 
nen, die tatsächlich auch genutzt werden 
sollen. So werden die tatsächlich anzu- 
wendenden Überwachungsfunktionen 
organisatorisch begrenzt. 

Fraglich ist demgegenüber auch wei- 
terhin, wann ein Überwachen vorliegt. 
Nach herrschender Meinung bedeutet 
„Überwachen“ sowohl das Sammeln 
von Informationen als auch das Auswer- 
ten der Daten.'® Gegenstand der Überwa- 
chung im Sinne dieses Mitbestimmungs- 
rechtes muss dabei das „Verhalten“ oder 
die „Leistung“ der Beschäftigten sein. 
Unter „Verhalten“ wird dabei ein indi- 
viduell steuerbares Tun verstanden. Da- 
rüber hinaus wird teilweise verlangt, das 
Handeln müsse sich auf die Erbringung 
der Arbeitsleistung beziehen, es müsse 
im Arbeitsverhältnis und bei der Arbeit 
erfolgen, außerbetriebliches Tun sei 
nicht gemeint. Für diese Einschränkung 
gibt es jedoch keine überzeugende Be- 
gründung.'* Werden durch eine Big-Da- 
ta-Analyse urlaubsbedingte und krank- 
heitsbedingte Fehlzeiten in Verhältnis 
zueinander gesetzt, handelt es sich um 
die Analyse von Verhaltensweisen der 
Beschäftigten. Wichtig für das Bejahen 
dieses Mitbestimmungstatbestandes ist, 
dass die technische Einrichtung, d. h. 
die DV-Anwendung selbst, die Überwa- 
chung bewirkt.'® Das wird bei Big-Data- 
Anwendungen immer dann der Fall sein, 
wenn die der jeweiligen Auswertung 
zugrunde liegenden personenbezogenen 
Rohdaten automatisch in eine bestimm- 
te Beziehung zueinander gesetzt werden 
und diese Beziehung für den Nutzer der 
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DV-Anwendung sichtbar gemacht wer- 
den, sei es durch Prozentangaben oder 
durch die Verwendung grafischer Dar- 
stellungen. 


1.3 Überwachungspflichten 


Gem. $ 80 Abs. 1 Nr. 1 BetrVG bzw. 
8 68 Abs. 1 Nr. 2 BPersVG hat die jewei- 
lige Belegschaftsvertretung darüber zu 
wachen, dass die zugunsten der Beschäf- 
tigten geltenden Rechtsvorschriften, zu 
denen auch Betriebsvereinbarungen ge- 
hören können, eingehalten werden. Aus 
dem Wortlaut („hat folgende Aufgaben‘) 
wird, deutlich, dass es sich hier nicht um 
ein Wahlrecht der Belegschaftsvertretung 
handelt. Ihr steht insofern kein Ermes- 
sen zu. Vielmehr handelt es sich um eine 
gesetzliche Pflicht. Es dürfte sich sogar 
um eine Garantenpflicht handeln, deren 
Verletzung strafrechtliche Konsequenzen 
nach sich ziehen kann. Dies ist bisher für 
Betriebs- bzw. Personalräte jedoch noch 
nicht durch die Rechtsprechung geklärt 
worden.'° Zu den nach diesen Vorschrif- 
ten auf ihre Einhaltung zu überwachen- 
den Vorschriften gehören auch die des 
BDSG." 

Die Überwachungspflicht erlischt da- 
bei nicht dadurch, dass im Unternehmen 
ein betrieblicher Datenschutzbeauftrag- 
ter bestellt ist, dem ebenfalls durch das 
BDSG die Überwachung der entspre- 
chenden Vorschriften obliegt. 

Im Rahmen der Überwachungspflicht 
hat die Belegschaftsvertretung umfang- 
reiche Kompetenzen. Insbesondere 
hat sie Einsichtsrechte, das Recht Aus- 
kunftspersonen zu befragen und das 
Recht, einen Sachverständigen hinzuzu- 
ziehen. 

Die Überwachungspflicht der Beleg- 
schaftsvertretung beginnt mit der Verar- 
beitung personenbezogener Beschäftig- 
tendaten. Die Pflicht existiert, solange 
die Verarbeitung erfolgt. Eine abge- 
schlossene Betriebsvereinbarung lässt 
die Überwachungspflicht nicht entfal- 
len. Vielmehr hat die Belegschaftsver- 
tretung zudem dann noch die Pflicht, die 
Einhaltung der Betriebs- bzw. Personal- 
vereinbarung regelmäßig zu überprüfen. 
Da allerdings der Belegschaftsvertre- 
tung nur die Pflicht zukommt, die Vor- 
schriften des BDSG auf ihre Einhaltung 
hin zu überprüfen, die auch auf die Ver- 
arbeitung von personenbezogenen Da- 


ten der Belegschaft Anwendung finden, 
ist auf diese Tatbestände im Folgenden 
näher einzugehen. 


1.3.1. Relevante Vorschriften des 
BDSG zu Big-Data-Anwendungen 


Werden personenbezogene Mitarbei- 
terdaten für betriebliche Zwecke verar- 
beitet, besteht regelmäßig kein Zweifel 
an der Anwendbarkeit des BDSG, $ 1 
Abs. 2 Nr. 3 BDSG. 


1.3.1.1. Die freiwillige Einwilligung 
als Erlaubnistatbestand für 
Big-Data-Anwendungen 


Fraglich ist, ob ein Beschäftigter in 
die Verwendung seiner personenbezoge- 
nen Daten im Rahmen einer Big-Data- 
Anwendung „freiwillig“ im Sinne des 
$ 4a BDSG einwilligen kann. In der Re- 
gel wird man nicht davon ausgehen kön- 
nen, dass das Bestehen eines sozialen 
Abhängigkeitsverhältnisses bzw. einer 
Weisungsgebundenheit, wie sie im Ar- 
beitsverhältnis regelmäßig der Fall ist, 
generell zu einem Ausschluss der frei- 
willigen Einwilligung führt. Es bedarf 
daher besonderer Umstände, um doch 
noch von einer Freiwilligkeit im Sin- 
ne der Vorschrift sprechen zu können. 
Dies wird in der Literatur etwa dann 
angenommen, wenn die Eingriffstiefe 
gering ist oder wenn sich bei objektiver 
Betrachtung für den Beschäftigten über- 
wiegend Vorteile ergeben.'® Es hängt da- 
her vom Einzelfall ab, ob Beschäftigte 
freiwillig in die Verarbeitung ihrer per- 
sonenbezogenen Daten im Rahmen von 
Big-Data-Anwendungen einwilligen 
können. Man wird dies umso eher be- 
jahen können, umso mehr die jeweilige 
Big-Data-Anwendung als verhältnismä- 
Big angesehen werden kann. 


1.3.1.1.1. Direkterhebung der Daten 
beim Beschäftigten 


8 4 Abs. 3 S. 1 BDSG schreibt vor, 
dass für den Fall, dass personenbezo- 
gene Daten direkt beim Betroffenen 
erhoben werden, dieser unter bestimm- 
ten Voraussetzungen über den Zweck 
der Verarbeitung seiner Daten zu infor- 
mieren ist. Dieser Vorschrift kommt im 
Rahmen von Big-Data-Anwendungen 
eine besondere Bedeutung zu. Denn 
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oftmals werden beim Einsatz solcher 
Anwendungen personenbezogene Daten 
nicht neu erhoben, sondern es wird mit 
vorhandenen Datenbeständen, z. B. über 
Schnittstellen zu anderen Systemen, ge- 
arbeitet. 

Erfolgte die Information des Beschäf- 
tigten über den Verarbeitungszweck der 
über ihn erhobenen Daten dabei zeitlich 
vor der Inbetriebnahme der Big-Data- 
Anwendung, dürfte die alte Zweckde- 
finition regelmäßig unzureichend sein 
und muss um die neuen Zwecke ergänzt 
werden. Die Belegschaft ist insofern 
unter Umständen nachträglich zu infor- 
mieren. Dies entspricht auch dem dem 
BDSG zugrunde liegenden Transpa- 
renzgrundsatz, der seinen Ausdruck u.a. 
in dem Auskunftsrecht gem. $ 34 Abs. 1 
Nr. 3 BDSG findet. 


1.3.1.1.2. Gesetzliche Erlaubnistatbe- 
stände für Big-Data-Anwendungen 


Als gesetzlich geregelter Erlaubnis- 
tatbestand für die Verarbeitung perso- 
nenbezogener Daten der Belegschaft 
kommt $ 32 Abs. 1 BDSG in Betracht. 
Danach ist die Verarbeitung zulässig, 
soweit sie für die verschiedenen Phasen 
des Beschäftigungsverhältnisses „erfor- 
derlich“ ist. In der Literatur wird das 
Erforderlichkeitskriterium als ein Topos 
verstanden, welcher einer Abwägung 
widerstreitender Grundrechtspositionen 
im Sinne der Herstellung von prakti- 
scher Konkordanz den Weg weisen 
soll.” Die Erforderlichkeit wird dabei 
beispielsweise dann verneint, wenn von 
mehreren gleich wirksamen Maßnah- 
men die den Beschäftigten stärker belas- 
tende gewählt wurde.” 

Machen Big-Data-Anwendungen da- 
gegen eine „Übermittlung“ personenbe- 
zogener Daten nötig, beispielsweise weil 
die Anwendung durch einen externen 
Dienstleister erbracht werden soll, sind 
dem gegenüber regelmäßig die Erlaub- 
nistatbestände des $ 28 Abs. 1 BDSG zu 
prüfen. Für die Verarbeitung und Über- 
mittlung besonderer Arten personenbe- 
zogener Daten im Sinne des $ 3 Abs. 9 
BDSG gilt der $ 28 Abs. 6 BDSG. 

Unabhängig davon, welcher Erlaub- 
nistatbestand im Einzelfall tatsächlich 
greift, kann man von einer Zulässigkeit 
von Big-Data-Anwendungen aber umso 
eher sprechen, je mehr diese ausgewo- 
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gen gestaltet sind und den Rechten der 
Belegschaft auf Wahrung ihrer Privat- 
sphäre und ihrem Recht auf informa- 
tionelle Selbstbestimmung Rechnung 
getragen wird. 


1.4. Fazit 


Big-Data-Anwendungen mit perso- 
nenbezogenen Daten unterliegen einer 
Vielzahl von rechtlichen Rahmenbedin- 
gungen. Dies gilt umso mehr für den Fall, 
dass die entsprechenden Anwendungen 
in Unternehmen mit Belegschaftsvertre- 
tungen eingesetzt werden. Es sollte daher 
nicht nur aus Gründen der Verhältnismä- 
Bigkeit, sondern auch aus Gründen der 
Praktikabilität zunächst immer versucht 
werden, Big-Data-Anwendungen mit 
Daten ohne Personenbezug den Vorrang 
einzuräumen. Big-Data-Anwendungen 
mit personenbezogenen Daten sollten die 
Ausnahme bleiben. 
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fuer-Twitter (Zuletzt abgerufen am 
11.07.2014.) 
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11.07.2014.) 
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Hans-Hermann Schild 


Cloud-Computing aus datenschutzrechtlicher Sicht 


1. Was ist Cloud Computing ? 


Cloud Computing ist aktuell in aller 
Munde, doch für die Frage der daten- 
schutzrechtlichen Einordung muss zu- 
nächst geklärt werden, was man darun- 
ter versteht. Wörtlich übersetzt heißt es 
nichts anderes als „Datenverarbeitung 
in der Wolke“. Allgemein ist damit ge- 
meint, dass Hardwarekomponenten und/ 
oder auch Softwarekomponenten für die 
gleichzeitige Nutzung mehreren An- 
wendern zur Verfügung stehen sollen. 
Im Allgemeinen versteht man darun- 
ter ein Konzept, bei dem Speicherplatz 
und/oder Software nicht mehr auf dem 
eigenen Rechner, sondern von externen 
Anbietern bereitgestellt wird. 

Dazu zählt auch, dass man sich auf 
der Geschäftsreise aus der Wolke der 
dort gelagerten Daten (über das Internet) 
bedient. Der nachfolgende Beitrag will 
einen kleinen Überblick zu datenschutz- 
rechtlichen Fragen des Cloud Com- 
putings bieten, kann jedoch nicht alle 
Besonderheiten oder Feinheiten behan- 
deln, die sich allein aus den vielfältigen 
Angeboten der Cloud ergeben. 

Bei der Public Cloud steht das An- 
gebot der Allgemeinheit zur Verfügung 
(z.B. Google, Amazon, AWS, IBM, 
...). Bei der Private Cloud stehen die 
Ressourcen exklusiv für einen Anwen- 
der zur Verfügung. Bei der Community 
Cloud wird diese von Anwendern aus ei- 
nem Anwendungsbereich genutzt. Dem- 
gegenüber besteht die Hybrid Cloud aus 
mehreren Clouds, bei denen es sich wie- 
derum um Public, Private und Commu- 
nity Clouds handeln kann. 


2. Verantwortlichkeit 


Wenn Daten an Dritte (Cloud-Betrei- 
ber) gehen, ist eins der zentralen Prob- 
leme die Datensicherheit, also die Inte- 
grität und Vertraulichkeit der Datenver- 
arbeitung für den Cloud-Nutzer. Dabei 
kann das Argument Sicherheit für einen 
Cloud-Anbieter sprechen, wenn die IT 
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in ein sicheres und geschütztes Rechen- 
zentrum ausgelagert wird. Gleich wie 
das Vertragsverhältnis für eine Daten- 
verarbeitung in der Cloud im Einzelnen 
gestaltet ist, ist aber zu beachten, dass 
sobald personenbezogene Daten verar- 
beitet werden das Datenschutzrecht an- 
wendbar und für dessen Einhaltung der 
Datenverarbeiter und damit der Cloud- 
Nutzer verantwortlich ist. Nach $ 3 
Abs. 7 BDSG ist verantwortliche Stelle 
jede Person oder Stelle, die personen- 
bezogene Daten für sich selbst erhebt, 
verarbeitet oder nutzt oder dies durch 
andere im Auftrag vornehmen lässt. In 
einem Konzern ist dies das jeweilige 
Konzernunternehmen (AG, GmbH), 
d.h. die Mutter und alle Töchter sind 
zueinander Dritte. Denn ein Konzern- 
privileg und damit ein Konzerndaten- 
schutzrecht gibt es im europäischen 
Datenschutzrecht nicht. Die jeweilige 
verantwortliche Stelle hat die Recht- 
mäßigkeit der gesamten Datenverar- 
beitung zu gewährleisten. Dazu zählt 
auch die Gewährleistung der Rechte 
des Betroffenen um dessen Daten es 
sich handelt (Auskunftserteilung - 
$ 34 Abs. 1 BDSG, Löschpflichten — 
835 Abs. 2 BDSG, Sperrung der Daten — 
$ 35 Abs. 3 BDSG, usw.), aber auch 
jeweils eine Rechtsgrundlage für die 


Datenerhebung, die Datenverarbeitung 
(incl. der „Weitergabe“) und die Daten- 
nutzung. 

Betreibt ein Unternehmen eine eige- 
ne Cloud, so ist dies am unproblema- 
tischsten, denn das Unternehmen ist 
als verantwortliche Stelle auch „Herr“ 
über seine Cloud und kann — ja muss 
— damit alle notwendigen Schritte und 
Handlungen. insbesondere auch aus 
datenschutzrechtlicher Sicht, in eige- 
ner Verantwortlichkeit selbst ausüben. 


3. Anwendung des Datenschutzrechts 


Die datenschutzrechtlichen Regelun- 
gen, die es zu beachten gilt, finden im- 
mer Anwendung, wenn Daten automa- 
tisiert verarbeitet werden, die sich auf 
eine natürliche Person beziehen oder auf 
diese beziehbar sind ($ 3 Abs. 1 BDSG). 
Damit fallen reine Geschäftsdaten einer 
juristischen Person zwar nicht unter den 
Anwendungsbereich des Datenschutz- 
rechts. Wenn juristische Personen aber 
durch natürliche Personen handeln, 
seien dies Geschäftsführer, Vorstände 
oder auch nur „Beschäftigte“, so fallen 
deren Daten als Daten einer natürlichen 
Person an. Dies mit der Folge, dass Da- 
ten der Betroffenen erhoben, verarbeitet 
und genutzt werden. Dies mit der weite- 
ren Folge, dass — da personenbeziehba- 
re Daten vorliegen — das Bundesdaten- 
schutzgesetz und andere bereichsspe- 
zifische datenschutzrechtliche Normen 
Anwendung finden. 

Auch pseudonyme Daten sind per- 
sonenbezogene Daten. Dabei ist zu be- 
achten, dass auch anonymisierte Daten 
bei einem entsprechenden großen Auf- 
wand an Zeit, Kosten und Kraft rean- 
onymisiert werden können und damit 
weiterhin unter den Geltungsbereich 
des Bundesdatenschutzgesetzes fallen. 
Auch verschlüsselte personenbezogene 
Daten bleiben personenbezogene Daten, 
da sie mit dem entsprechenden Schlüs- 
sel wieder entschlüsselt werden können. 
Damit fallen Lagerverwaltungssysteme, 


155 


die sich nur auf Gegenstände beziehen, 
nicht in den Bereich des Datenschutz- 
rechts. Sowie diese aber auch eine Per- 
sonenzuordnung (z.B. bei der Ausliefe- 
rung) enthalten, findet das Datenschutz- 
recht Anwendung. 

Neben dem Bundesdatenschutzgesetz 
(BDSG) in Deutschland ist auf euro- 
päischer Ebene die sog. Datenschutz- 
Richtlinie 95/46/EG zu berücksichtigen. 
Sie bildet die Grundlage für das BDSG. 
Soweit ein Öffentlich verfügbarer Te- 
lekommunikations-Dienst (z.B. ein E- 
Mail-Dienst) über eine Cloud-Lösung 
angeboten wird, ist neben dem BDSG 
auf europäischer Ebene die Richtlinie 
2002/58/EG (Datenschutzrichtlinie für 
elektronische Kommunikation, zuletzt 
geändert durch Richtlinie 2009/136/EG) 
anwendbar. In Deutschland gilt insoweit 
dann das Telekommunikationsgesetz 
(TKG). 


4. Auftragsdatenverarbeitung 


Während innerhalb der verantwort- 
lichen Stelle die Grundsätze u.a. der 
Datensparsamkeit ($ 3 a Abs. 1 BDSG), 
die Verpflichtung zur Meldung der au- 
tomatisierten Verarbeitung ($ Ad und 4e 
BDSG), die achte Gebote der Daten- 
sicherheit (Anlage zu $ 9 BDSG), der 
Grundsatz der Erforderlichkeit und der 
Zweckbindung zu beachten sind, wäre 
bei einer Datenspeicherung außerhalb 
der verantwortlichen Stelle innerhalb 
Deutschlands und der EU- bzw. EWR- 
Staaten darüber hinaus eine Datenver- 
arbeitung im Auftrag gegeben. Dies 
bedeutet, es gibt einen für die Verar- 
beitung Verantwortlichen ($ 3 Abs. 7 
BDSG), genannt Auftraggeber und ei- 
nen Auftragnehmer (vgl. $ 11 BDSG). 
Der Auftraggeber ist und bleibt für die 
Einhaltung der datenschutzrechtlichen 
Vorschriften und Grundsätze verant- 
wortlich. D.h., der Auftraggeber trägt 
die Verantwortung für die materielle 
Zulässigkeit der Datenverarbeitung und 
haftet gegenüber den Betroffenen (z.B. 
auf Schadensersatz). Dem Auftraggeber 
obliegt die Verantwortung für die Ein- 
haltung der Vorschriften über den Da- 
tenschutz. Der Auftrag ist schriftlich zu 
erteilen (siehe auch Art. 17 Abs. 3 RL 
95/46/EG). Nach $ 11 Abs. 2 BDSG ist 
im Einzelnen mit dem Auftragnehmer 
insbesondere schriftlich festzulegen: 
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1. der Gegenstand und die Dauer des 
Auftrags, 

2. der Umfang, die Art und der Zweck 
der vorgesehenen Erhebung, Verar- 
beitung oder Nutzung von Daten, 
die Art der Daten und der Kreis der 
Betroffenen, 

3. die nach $ 9 zu treffenden techni- 
schen und organisatorischen Maß- 
nahmen, 

4. die Berichtigung, Löschung und 
Sperrung von Daten, 

5. die nach Absatz 4 bestehenden 
Pflichten des Auftragnehmers, ins- 
besondere die von ihm vorzuneh- 
menden Kontrollen, 

6. die etwaige Berechtigung zur Be- 
gründung von Unterauftragsverhält- 
nissen, 

7. die Kontrollrechte des Auftragge- 
bers und die entsprechenden Dul- 
dungs- und Mitwirkungspflichten 
des Auftragnehmers, 

8. mitzuteilende Verstöße des Auftrag- 
nehmers oder der bei ihm beschäf- 
tigten Personen gegen Vor- 
schriften zum Schutz personenbe- 
zogener Daten oder gegen die im 
Auftrag getroffenen Festlegungen, 

9. der Umfang der Weisungsbefugnis- 
se, die sich der Auftraggeber gegen- 
über dem Auftragnehmer vorbehält, 

10. die Rückgabe überlassener Da- 
tenträger und die Löschung beim 
Auftragnehmer gespeicherter Daten 
nach Beendigung des Auftrags. 


Insoweit führt das Institut der Auf- 
tragsdatenverarbeitung dazu, dass kei- 
ne Datenübermittlung an einen Dritten 
im rechtlichen Sinne erfolgt und bietet 
damit eine privilegierte Grundlage um 
sich EDV-mäßig — wenn auch unter 
Beachtung von Formerfordernissen — 
innerhalb der EU-Mitgliedsstaaten der 
Dienste Dritter leichter zu bedienen. 

Der Auftraggeber hat sich vor Beginn 
der Datenverarbeitung von der Einhal- 
tung der getroffenen Maßnahmen nach 
der Anlage zu $ 9 BDSG zu überzeugen, 
später regelmäßig. Das Ergebnis dieser 
Überprüfungen ist zu dokumentieren. Ist 
dies alles erfüllt, so ist die Auftragsda- 
tenverarbeitung auch bei einem Cloud- 
Anbieter datenschutzrechtlich unbe- 
denklich. 

Der Auftragnehmer (Cloud-Betreiber) 
wäre an die Weisungen des Auftrag- 


gebers gebunden. Soweit ein Cloud- 
Anbieter über ein umfangreicheres 
Know-How verfügt als der Auftragge- 
ber, müsste er gerade zur Beachtung der 
Vorgaben des BDSG dem Auftraggeber 
behilflich sein und die entsprechenden 
Entwürfe für eine datenschutzgerech- 
te Auftragsdatenverarbeitungsverträge 
und ggf. auch das Grundgerüst für die 
Meldung zur Verfügung stellen. 

Cloud-Computing-Dienste können 
jedoch von mehreren Dienstleistern 
erbracht werden, die als Auftragneh- 
mer bzw. als Unterauftragnehmer tätig 
werden. Nach Auffassung der sog. Art. 
29-Gruppe (ein Gremium, in dem alle 
Aufsichtsbehörden der Mitgliedstaaten 
vertreten sind) darf ein Cloud-Anbieter 
einen Unterauftrag nur mit Einwilligung 
des Cloud-Anwenders erteilen. Nicht 
erforderlich ist die Erteilung einer sepa- 
raten Einwilligung in jedem Einzelfall, 
eine „generelle Einwilligung“ vor Auf- 
nahme der Dienstleistungstätigkeit soll 
grundsätzlich genügen. Der Cloud-An- 
bieter ist aber unmissverständlich dazu 
zu verpflichten, seine Anwender über 
vorgesehene Änderungen im Hinblick 
auf den Einsatz neuer oder den Ersatz 
von Unterauftragnehmern zu informie- 
ren. Dabei muss der Cloud-Anwender 
jederzeit die Möglichkeit haben, den 
Änderungen zu widersprechen oder den 
Vertrag zu kündigen. Es sollte eine kla- 
re Verpflichtung des Cloud-Anbieters 
bestehen, alle Unterauftragnehmer zu 
benennen. Ein von dem Cloud-Anbieter 
und dem Unterauftraggeber unterzeich- 
neter Vertrag sollte die vertraglichen 
Regelungen zwischen dem Cloud-An- 
bieter und der Cloud-Anwender wider- 
spiegeln. Denn was ist, wenn sich der 
Unterauftragnehmer oder gar die Cloud- 
Anbieter in einem sogenannten Dritt- 
staat befindet? 


5. Drittstaaten 


Alle Staaten, die nicht EU-Mitglied- 
staaten oder EWR-Staaten (Liechten- 
stein, Norwegen, Island) sind, sind 
sogenannte Drittstatten. Eine Daten- 
übermittlung in einen Drittstaat ist nur 
zulässig, wenn eine Rechtgrundlage zur 
Datenübermittlung vorliegt (z.B. $ 28 
Abs. 1 BDSG) und dieser Staat darüber 
hinaus über ein angemessenes Daten- 
schutzniveau verfügt ($ 4b Abs. 1 Satz 2 
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und 3 BDSG). Hierunter fallen z.B. die 
Schweiz, Kanada, Argentinien, Neusee- 
land, nicht aber die USA. Hier benötigt 
man für die Datenübermittlung die Ge- 
nehmigung durch die Aufsichtsbehörde 
aufgrund ausreichender Garantien oder 
aber es wurden mit dem Unternehmen 
im Ausland sogenannte Standardver- 
tragsklauseln (hier gibt es zwei Muster) 
oder die Standardvertragsklauseln für 
Auftragsdatenverarbeiter vereinbart (vgl. 
Art. 26 Abs. 2 EU-DS-RiLi) oder aber 
das Unternehmen in den USA hat sich 
den sog. Safe-Harbor-Garantien unter- 
worfen (ein Verfahren, welches mangels 
Anwendung in den USA in Verruf ge- 
kommen ist, siehe aber auch die Vorlage 
des Irischen High Court vom 18.06.2014 
an den EuGH zur Frage der Rechtmäßig- 
keit des Safe-Harbor-Abkommens) oder 
es liegen bei einem Konzern verbindliche 
Unternehmensregelungen (Binding Cor- 
porate Rules) vor, die von den Aufsichts- 
behörden genehmigt wurden. 

Bei einem Drittstaatenbezug zu den 
USA besteht für die dortigen Behörden 
immer ein Zugriffsrechts auf die Daten, 
wie schon die SWIFT-Affäre gezeigt 
hat. Zwar hat SWIFT, welches den inter- 
nationalen Zahlungsverkehr abwickelt, 
seinen Sitz in Belgien, ein Sicherheitsar- 
chiv wird jedoch in den USA betrieben. 
Dies mit der Folge, dass die Behörden 
auf diese Daten nach dem Recht der Ver- 
einigten Staaten zugreifen konnten. 

Selbst wenn die Daten nicht in den 
USA, sondern in einem Mitgliedstaat 
der EU gespeichert sind, ist nicht si- 
cher, dass die US-Regierung nicht ein 
Zugriffsrecht auf diese Daten geltend 
macht. Aktuell kämpft Microsoft vor 
Gericht dagegen, dass in Irland ge- 
speicherte E-Mails an die staatlichen 
Organe der USA herausgegeben wer- 
den sollen (siehe http://www.heise.de/ 
newsticker/meldung/US-Regierung- 
fordert-Zugriff-auf-Daten-in-EU- 
Rechenzentren-2260639.html). Denn 
selbst wenn Daten nur in Europa gespei- 
chert sind, sind sie bei Unternehmen mit 
Hauptsitz in den USA (wie Microsoft, 
CSC, IBM, Apple, Cisco usw.) ganz of- 
fensichtlich nicht sicher, wenn diese Un- 
ternehmen zur Verletzung von Gesetzen 
eines EU-Landes durch eine amerikani- 
sche Gerichtsentscheidung gezwungen 
würden (Heise Online vom 16.06.2014, 
http://www.heise.de/newsticker/ 
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meldung/Apple-und-Cisco-unterstuetzen- 
Microsoft-gegen-US-Zugriff-auf-EU- 
Rechenzentren-2224278.html). 


6. Weitere Punkte, die man beachten 
sollte 


Bei dem Einsatz von Cloud Compu- 
ting sollte sich der Auftraggeber auch die 
Frage stellen: Wie bleibe ich Herr meiner 
Daten? Denn nach $ 257 HGB ist jeder 
Kaufmann verpflichtet Handelsbücher, 
Inventare, Eröffnungsbilanzen, Jahres- 
abschlüsse, Einzelabschlüsse nach $ 325 
Abs. 2a HGB, Lageberichte, Konzern- 
abschlüsse, Konzernlageberichte sowie 
die zu ihrem Verständnis erforderlichen 
Arbeitsanweisungen und sonstigen Or- 
ganisationsunterlagen, die empfangenen 
Handelsbriefe, Wiedergaben der abge- 
sandten Handelsbriefe sowie Belege für 
Buchungen in den von ihm nach $ 238 
Abs. 1 HGB zu führenden Büchern (Bu- 
chungsbelege) geordnet aufzubewahren. 

Diese Unterlagen sind zehn bzw. 
sechs Jahre aufzubewahren. Dabei müs- 
sen die Unterlagen während der Dauer 
der Aufbewahrungsfrist verfügbar sein 
und jederzeit innerhalb angemessener 
Frist lesbar gemacht werden können. 

Ist dies bei dem Auftragnehmer si- 
chergestellt? Was passiert bei Insolvenz 
des Auftragsnehmers? Wer ist dann Herr 
der Daten? Hierzu sollte man bereits vor 
dem Einsatz von Cloud Computing eine 
tragfähige Antwort im Sinne des eige- 
nen Unternehmens haben. 

Nach $ 146 Abs. 2 Satz 1 AO sind 
Bücher und die sonst erforderlichen 
Aufzeichnungen im Geltungsbereich 
der Abgabenordnung (also in Deutsch- 
land) zu führen und aufzubewahren. 
Nur auf schriftlichen Antrag des Steuer- 
pflichtigen kann die Finanzverwaltung 
bewilligen, dass elektronische Bücher 
und sonstige erforderliche elektroni- 
sche Aufzeichnungen oder Teile davon 
außerhalb des Geltungsbereichs der 
Abganordnung geführt und aufbewahrt 
werden können. Diese Bewilligung 
kann aber jederzeit widerrufen werden. 
Hat ein Unternehmen seine elektroni- 
sche Buchführung ohne Bewilligung 
der zuständigen Finanzbehörde ins Aus- 
land verlagert, kann neben dem sonsti- 
gen Werkzeug der Abgabenordnung ein 
Verzögerungsgeld von 2 500 Euro bis 
250 000 Euro festgesetzt werden. Zwar 


mag eine Bewilligung für das EU-Inland 
noch zu bekommen sein, es stellt sich 
jedoch die Frage nach der besonderen 
Härte, warum die Daten in einem Dritt- 
staat gespeichert werden müssen. 

Auch muss für die Datenschutzauf- 
sichtsbehörden die volle Datenschutz- 
kontrolle nach $ 38 BDSG möglich 
sein. Dies wäre bei Auslandsbezug ggf. 
vertraglich im Benehmen mit der zu- 
ständigen Datenschutzaufsichtsbehörde 
sicherzustellen. 

Das Außenwirtschaftsgesetz enthält 
für Ausfuhren in $ 4 AWG Beschrän- 
kungen und Handlungspflichten zum 
Schutz der öffentlichen Sicherheit und 
der auswärtigen Interessen. Ohne Ge- 
nehmigung nach $ 8 AWG drohen für 
all die, die einen Verstoß begehen, buß- 
geldrechtliche und strafrechtliche Sank- 
tionen. Daher ist sicherzustellen, dass 
durch den Standort des Cloud-Anbieters 
nicht hiergegen verstoßen wird. 

Und ganz zum Schluss: Was passiert, 
wenn auf den Server des Cloud-Anbie- 
ters trotz aller Anstrengungen bei der 
Datensicherheit unberechtigt zugegrif- 
fen wird und Daten des Unternehmens 
in fremde Hände gelangen? Wie sollen 
die Kunden, deren Bankdaten entwendet 
wurden, im Rahmen der Meldepflichten 
bei Sicherheitsverstößen (siehe $ 42a 
BDSG) informiert werden? 


7. Schlussbetrachtung 


Auch bei der Cloud gelten neben 
der Datensicherheit die allgemeinen 
Regelungen zum Datenschutz. Vie- 
le datenschutzrechtliche Forderungen 
liegen zwar im formalen Bereich, wie 
die Dokumentation der automatisierten 
Verarbeitung (Meldung) oder gar die 
Auftragsdatenverarbeitungsverträge. 
Diese dienen aber gerade dazu, dass 
sich die verantwortliche Stelle (das 
Unternehmen) bereits im Vorfeld aus- 
reichend Gedanken über einen recht- 
mäßigen Umgang mit personenbezo- 
gen Daten macht und nicht erst dann, 
wenn der Datenschutzskandal passiert 
ist oder gar gegen Vorgaben der Abga- 
benordnung verstoßen wurde. Insoweit 
gehört das Thema Datenschutz auch 
beim Cloud Computing zu dem Bereich 
„Governance“, den es zu beachten gilt 
(in Deutschland spricht man fälschlicher 
Weise immer von Compliance). 
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Jonas Plass, Dr. Denis Giffeler 


Anti-Doping-Kontrollen mit „eves“ 


Allein in Deutschland müssen sich 
etwa 7.000 professionelle Athleten aus 
unterschiedlichen Sportarten regelmä- 
Bigen Dopingkontrollen unterziehen. 
Zur Anbahnung dieser Kontrollen wird 
von der Welt-Anti-Doping-Agentur 
(WADA) ein Programm mit dem Namen 
Anti-Doping Admission and Adminis- 
tration System (ADAMS) empfohlen. 
Eingesetzt wird es unter anderem auch 
in Deutschland. 

Die Leistungssportler sind verpflich- 
tet, ihre künftigen regelmäßigen Auf- 
enthaltsorte bis zu drei Monate im Vo- 
raus über eine Online-Schnittstelle in 
ADAMS zu hinterlegen, damit sie bei 
einer Kontrolle durch den Kontrolleur 
aufgesucht werden können. Die Pflicht 
zur Verwendung von ADAMS ergibt 
sich aus den Regularien der im Interna- 
tionalen Olympischen Komitee zusam- 
mengeschlossenen nationalen Verbände. 
Zur Bekämpfung des Dopings wurde die 
WADA 1999 gegründet, deren Vorgaben 
durch nationale Agenturen umgesetzt 
werden. In Deutschland ist dies die Na- 
tionale-Anti-Doping-Agentur (NADA) 
mit Sitz in Bonn. Die NADA nutzt das 
kostenlos bereitgestellte System der 
WADA, anstatt ein eigenes System zu 
entwickeln. 


Spontane Kontrollen und Doping 


Weshalb gibt es überhaupt spontane 
Wettkampf- und Trainingskontrollen 
ohne Vorwarnzeit? Dies hängt vor allem 
damit zusammen, dass Dopingsubstan- 
zen über sehr unterschiedliche Zeiträu- 
me im Blut oder in Ausscheidungen 
nachgewiesen werden können. Außer- 
dem gibt es Möglichkeiten, bestimmte 
Substanzen durch Einnahme von wei- 
teren Mitteln zu »maskieren«. Oder es 
wird gleich der ganze Inhalt der Blase 
gegen Fremd-Urin ausgetauscht. Dem 
Erfindungsreichtum sind bei der Nach- 
hilfe zur Leistungssteigerung fast keine 
Grenzen gesetzt. Daher ist es wesent- 
lich, dass Kontrollen möglichst nicht 
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unterlaufen werden können. Und je 
kürzer die Vorlaufzeit bei Tests ausfällt, 
desto weniger Zeit bleibt für Gegenmaß- 
nahmen. 


Ob die Gestaltung der Kontrollen 
grundsätzlich den Anspruch an Erfor- 
derlichkeit und Angemessenheit im da- 
tenschutzrechtlichen Sinne erfüllt, ist 
nicht Gegenstand der vorliegenden Be- 
trachtung. 


ADAMS 


Seit seiner Einführung im Jahre 2005 
richtet sich die Kritik der Datenschüt- 
zer in Zusammenhang mit dem System 
ADAMS insbesondere gegen die fol- 
genden Sachverhalte: 


1.Einwilligungsvorbehalt. Die aus- 
schließlich im WADA-Code (und 
nicht durch nationale Gesetzgebung) 
festgeschriebene Einwilligung des 
Athleten in Kontrollen ist Vorausset- 
zung für die Teilnahme an Wettkämp- 
fen. Freiwilligkeit ist demnach nicht 
gegeben. 

2.Datenübermittlung. Persönliche An- 
gaben werden in das zentrale ADAMS 
nach Kanada übermittelt und können 
von dort aus weltweit weitergeleitet 
werden. Es ist offen, ob alle betei- 
ligten Länder über ein Datenschutz- 
niveau verfügen, welches dem der 
Europäischen Union entspricht. Uns 
ist nicht bekannt, ob die verantwort- 
lichen Stellen, die ADAMS betreiben 
oder Sportler zur Nutzung verpflich- 
ten, gegenüber den Aufsichtsbehörden 
Garantien zum Schutz der Persönlich- 
keitsrechte der Athleten gegeben ha- 
ben. 

3.Dauer der Datenspeicherung. Die 
Angaben zu Aufenthaltsorten und Er- 
reichbarkeit werden eineinhalb Jahre 
nach Ablauf der Angaben vorgehal- 
ten. 

4.Rechte Dritter. Bei der Angabe von 
Aufenthaltsorten werden — unter Um- 


ständen — schutzwürdige Interessen 
Dritter verletzt, beispielsweise bei 
Angaben zu Übernachtungsorten. 

5.Zweckbindung. Uns ist nicht bekannt, 
ob von Anti-Doping Organisationen 
nachgewiesen wurde, dass die erhobe- 
nen Daten ausschließlich zum Zwecke 
von Dopingkontrollen Verwendung 
finden. Nach EU-Recht ist die Zweck- 
bindung einzuhalten; außerhalb der 
EU fehlen solche Garantien. 


Die Meldepflichten verletzen so mög- 
licherweise auch ganz grundsätzliche 
Rechte der Sportler wie das Recht auf 
informationelle Selbstbestimmung, das 
mit dem angelsächsischen »Right to be 
left alone« so viel aussagekräftiger be- 
zeichnet ist, sowie Freiheitsrechte wie 
Versammlungsfreiheit, freie Religions- 
ausübung oder das Demonstrationsrecht. 

Diese Unzulänglichkeiten waren Aus- 
gangspunkt für unseren Forschungs- 
ansatz zur Schaffung eines — zunächst 
ergänzenden — Systems für die Ortsbe- 
stimmung von Athleten, um die Anbah- 
nung von Dopingkontrollen zu verbes- 
sern. 


eves 


Bei eves handelt es sich um ein aktuel- 
les Forschungsprojekt in der Planungs- 
und Pilotentwicklungsphase mit dem 
Ziel, unter Verwendung bewährter und 
allgemein verfügbarer Ortungstechno- 
logien das Zusammentreffen zwischen 
Dopingkontrolleur und dem Athleten zu 
vereinfachen. 

Als betroffene Leistungssportler er- 
hoffen wir uns durch den Einsatz von 
eves einen Zugewinn an persönlicher 
Freiheit — nicht jede Ortsveränderung 
muss online angezeigt werden — und 
durch datensparsamere Meldeerforder- 
nisse einen deutlich verbesserten Schutz 
unserer Privatsphäre. Für die nationalen 
und internationalen Anti-Doping-Stel- 
len bedeutet der Einsatz von eves eine 
Zeitersparnis bei der Anbahnung von 


DANA » Datenschutz Nachrichten 4/2014 


B wem ADNESSSUCH 


Kae ara. ko arueigen Bendechvon Nirrweine & Tanghaiien 
201203 Sun Juni 2013 a, Ian | Weste | Bones 
En 
© © © © © 
Pastzoruese ' 
nn — 0m co 0 ee————— ä 
mE Eee PEST ss — | | | 0000. 
mern nach * 


©4 os ne m ma © 
Day Er 7 Er Ge 0 
1) Ertrag anzeigen 
> on on Drau AL) © 
ns —-—_— | [| — Pe 
m nn 
Umerwere.ngwin 
[Pr [5 © Ze 1 7 7 [N ze man m mM 
' ©“ oo» n © 
mE WII a 
© 
oo» oo» nm 
DU. EEE 
unten m = 73 


Dopingkontrollen sowie eine erhöhte 
Akzeptanz bei den Athleten. 

eves wird die von dem Athleten in 
ADAMS _ hinterlegten Aufenthaltsor- 
te („Whereabouts“) zunächst ergänzen. 
Wenn Abweichungen zwischen den Orts- 
angaben und dem tatsächlichen Aufent- 
haltsort bestehen (z.B. spontane Reiseän- 
derungen bei Streik, Krankheit, familiä- 
ren Verpflichtungen), soll der Prüfer mit 
Hilfe von eves den Athleten zukünftig 
dennoch antreffen können. Für den Ath- 
leten bedeutet der Einsatz, dass er sich 
weniger Sorge um einen fehlgeschlage- 
nen („Missed“) Test machen muss. Denn 
bei drei „Missed Tests‘ droht bislang 
eine Sperre, auch wenn der Athlet, wie 
beispielsweise im Fall des Handballers 
Michael Kraus in diesem Jahr, nicht des 
Dopings überführt wurde. 

Gleichzeitig bedeutet der Einsatz von 
eves, dass der Athlet nicht von vornhe- 
rein, aus Angst vor spontanen Aufent- 
haltsänderungen, potenzielle Aufent- 
haltsorte in großer Zahl und entgegen 
der Forderung an Datensparsamkeit in 
ADAMS hinterlegen muss. 

Als wesentliche Komponente von 
eves wird derzeit ein tragbares Gerät 
(eves-Client) entwickelt, das speziell an 
die Bedürfnisse von Athleten angepasst 
ist. Es ist klein und kann ohne Weiteres 
jederzeit am Körper getragen werden. 
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Mit seiner Hilfe kann ein autorisierter 
Doping-Kontrolleur — und nur dieser — 
bei einer anstehenden Kontrolle den 
Aufenthaltsort des Athleten ermitteln. 
Eine Ortung kann nur im Einzelfall 
durch den berechtigten Kontrolleur 
vorgenommen werden und sie wird 
protokolliert. Die Protokolleinträge 
können durch den Athleten eingesehen 
werden. 

Bei der Entwicklung des eves-Clients 
stehen folgende Eigenschaften im Vor- 
dergrund: 

- Lange Batterielaufzeit und -lebens- 
dauer. Das Gerät wird den Träger 
über eine Statusleuchte informie- 
ren, ob ein Fehler vorliegt. Weitere 
Informationsanzeigen,  beispiels- 
weise über den Status einer Abfra- 
ge, sind nicht vorgesehen. 

- Schutz vor Manipulation. Das 
Gerät wird über keine externen 
Schnittstellen verfügen. Das Aufla- 
den erfolgt ohne Steckverbindung 
durch Induktion. Das Gehäuse ist 
wasserdicht und vollständig gekap- 
selt. 

- Einfache Bedienbarkeit, Selbst- 
bestimmbarkeit und hoher Trage- 
komfort. Der Athlet kann das Gerät 
abschalten, beispielsweise wenn er 
sich in einem Flugzeug oder in ei- 
ner Klinik befindet. 


- Eine Kennzeichnung, um das ver- 
sehentliche Vertauschen von Gerä- 
ten zu verhindern. 

Schnelle Ermittlung der Position 
auch innerhalb von geschlossenen 
Räumen. 

Sichere und unverfälschbare Über- 
mittlung von Positions- und Status- 
informationen ausschließlich zum 
Zweck der Testanbahnung. 


Das tragbare Gerät ermittelt und sen- 
det seinen Standort nur dann, wenn die- 
ser von einem autorisierten Prüfer ange- 
fordert wird. Bewegungsprofile können 
daher nicht erstellt und mithin auch 
nicht gespeichert werden. 

Das eves-System und dessen Kom- 
munikation bauen auf folgenden Kom- 
ponenten auf: 

eves-Client: Das tragbare Endgerät. 
Nach Empfang einer autorisierten Po- 
sitionsanfrage über einen dedizierten 
verschlüsselten Kanal (SMS) prüft es 
die aktuelle Position mittels Satelliten- 
navigation oder kombinierter Satelliten/ 
Mobilfunk-Ortung (GNSS oder AGPS). 
Kann keine aktuelle Position bestimmt 
werden, wird die letzte verfügbare Posi- 
tion oder eine Fehlermeldung auf dem- 
selben Weg wie die Anfrage übermittelt. 
Die letzte verfügbare Position wird in 
einem internen Speicher für ein Werte- 
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paar, bestehend aus Längen- und Brei- 
tenangabe, vorgehalten. 

eves-Server: Ein hochverfügbares 
System, das in zertifizierten Rechenzen- 
tren betrieben wird. Innerhalb des Ser- 
vers ist den einzelnen Athleten ein ein- 
eindeutiges Gerät zugeordnet. Anfragen 
werden über gesicherte Verbindungen 
(https) entgegengenommen. Die Weiter- 
leitung der Anfrage erfolgt über SMS an 
das jeweilige Endgerät. Zurückgeliefert 
wird die Längen- und Breitenangabe 
der letzten Position des Athleten oder 
eine Statusmeldung. Protokolliert wer- 
den dabei Zeitpunkt und Autorisierung 
des anfragenden Prüfers, der Status und 
die Erreichbarkeit des eves-Clients. Der 
Athlet hat später die Möglichkeit, auf 
sämtliche im Zusammenhang mit einer 
Kontrollanfrage über ihn im System 
hinterlegten Protokolldaten zuzugreifen. 
Der Server nimmt auch Meldungen des 
eves-Clients zum Zustand des Systems, 
z.B. bei einem kritischen Ladezustand 
der Batterie, über SMS entgegen. 

ADAMS: Enthält unter anderem die 
Whereabouts der Athleten. Eine tech- 
nische Anbindung des Systems erfolgt 
nicht; lediglich der Prüfer kann die In- 
formationen der beiden Systeme abglei- 
chen. 

Prüfer: Der Prüfer erhält eine Liste 
der Athleten, die zu einem bestimmten 
Zeitpunkt getestet werden sollen. Aus 
dem ADAMS-System erhält er online 
Informationen zu den Whereabouts über 
eine Web-Schnittstelle. Für jeden Ath- 
leten dieser Liste kann er eine Anfrage 
über eine gesicherte Web-Schnittstelle an 
den eves-Server richten und erhält, so- 
fern verfügbar, die aktuelle Position des 
Athleten. Diese Positionsangaben kann 
er über eine Karten-Applikation mit den 
Whereabouts aus ADAMS vergleichen 
und so seine Anfahrtswege optimiert pla- 
nen. Der eves-Server gibt nur in einem 
begrenzten Zeitraum Angaben zur Posi- 
tion des für einen Test vorgesehenen Ath- 
leten. Jede Anfrage wird protokolliert. 

Technische und organisatorische 
Schutzmaßnahmen: Der Betrieb von 
eves erfordert die Einbettung der techni- 
schen Komponenten in einen sicheren Pro- 
zess. Auch wenn dieser zum jetzigen Zeit- 
punkt noch nicht gestaltet werden kann, 
müssen folgende Rahmenbedingungen für 
die datenschutzfreundliche Gestaltung auf 
jeden Fall eingehalten werden: 
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- Produktion und Ausgabe der Ortungs- 
geräte müssen manipulationsfrei er- 
folgen. 

- Die Zuweisung eines Prüfauftrags an 

einen Kontrolleur muss eindeutig und 

nachvollziehbar erfolgen. Sie darf die 
einzige Voraussetzung für die Ertei- 
lung einer Ortungsbefugnis für den 

Prüfer bzgl. des zugeteilten Athleten 

sein. Zuweisung und Ortungsvorgang 

müssen verfälschungssicher protokol- 
liert werden. 

Die Ortung nicht zu kontrollierender 

Athleten und die Ortung durch nicht 

mit der Kontrolle betraute Prüfer 

muss wirksam unterbunden werden. 

Für abgeschlossene Kontrollvorgänge 

müssen enge Löschfristen für alle In- 

stanzen von Ortungsergebnissen fest- 
gelegt werden. 


Zur besseren Übersicht hier nochmals 
die einzelnen Schritte in der zeitlichen 
Abfolge: 

1. Der Prüfer erhält eine Liste der zu tes- 
tenden Athleten. 

2.Er ermittelt die Whereabouts der Ath- 
leten mit Hilfe von ADAMS. 

3.Vor der Anfahrt stellt er, via Web- 

Zugriff, eine Positionsanfrage an den 

eves-Server. 
4.Der eves-Server leitet die Anfrage, 

sofern zulässig, als SMS an den eves- 

Client weiter. 
5.Der eves-Client ermittelt, sofern zu- 

lässig, die letzte Position und leitet 

diese per SMS an den eves-Server. 

6.Der eves-Server liefert die Ergebnisse 
der Rückmeldung des eves-Clients an 
den Prüfer und protokolliert den Ab- 
schluss der Anfrage ohne Positionsan- 
gabe. 


Aktueller Status: Testphase 


Derzeit laufen die Vorbereitungen für 
einen Feldtest, bei dem die folgenden 
Fragestellungen in Hinblick auf Sicher- 
heit, Nachhaltigkeit, initiale und laufen- 
de Kosten sowie technische Machbar- 
keit untersucht werden. 

1. Welche Methoden der Positionsbestim- 
mung erlauben eine ausreichend genaue 
Lokalisierung in unterschiedlichen 
Alltagssituationen (u.a. GPS / GNSS, 
GSM-Triangulation, WLAN, RF); 

2. Welche Kommunikationswege ge- 
nügen den hohen Anforderungen an 


Vertraulichkeit und Integrität der Da- 
ten (z.B. GSM, GPRS, WLAN); 

3. Weitere Randbedingungen wie Ge- 
brauchstauglichkeit und Tragekom- 
fort im Alltag, Batterielaufzeit, Ma- 
terial- und Umweltverträglichkeit, 
Transport und Logistik etc. 


Die wesentlichen Rahmenanforderun- 
gen in Bezug auf Datenschutz wurden 
bereits formuliert. Sie weiter zu detail- 
lieren und in die Prozesse zu implemen- 
tieren ist der nächsten Projektphase vor- 
behalten, wenn der Test eine grundsätz- 
liche Machbarkeit ergeben hat. 


Der Test ist ergebnisoffen angelegt 
mit dem Ziel einer Gesamtlösung, die 
in Bezug auf Sicherheit, Nachhaltigkeit 
und Kosten optimiert ist. Sollte keine 
signifikante Verbesserung der Testan- 
bahnung zwischen Athleten und Prüfer 
zu beobachten sein, bleibt zu prüfen, ob 
der Zugewinn an persönlicher Freiheit 
und verbessertem Schutz der Persön- 
lichkeitsrechte der Athleten den Einsatz 
dennoch rechtfertigen. 


Sicherheit 


- In Anlehnung an den IT-Grundschutz 
und unter Beachtung weiterer Prüf- 
kataloge wie z.B. OWASP werden, 
gemeinsam mit dem Fraunhofer In- 
stitut AISEC, die Komponenten des 
Gesamtsystems auf mögliche Ge- 
fährdungen untersucht und Risiken 
bewertet. Dabei geht die Betrachtung 
über die rein technischen Aspekte hi- 
naus, indem auch elementare Gefähr- 
dungen, höhere Gewalt, organisatori- 
sche Mängel, menschliche Fehlhand- 
lungen, technisches Versagen und 
vorsätzliche Handlungen als Risiken 
betrachtet werden. 


Neben der rein technisch/fachlichen 
Ausrichtung ist eines der Hauptziele 
des Forschungsprojektes die Verbesse- 
rung der datenschutzrechtlichen Belan- 
ge der Athleten. Die fachliche Beglei- 
tung und Dokumentation des Projekts 
durch die jeweiligen Experten soll die 
notwendige Transparenz von eves si- 
cherstellen. Wir hoffen zudem, dass die 
Ergebnisse aus dem Projekt letztlich 
für mehr Rechtssicherheit sorgen, wenn 
die Politik die zu erwartenden Ergeb- 
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nisse aus dem Projekt in die aktuelle 
Gesetzgebung einfließen lässt. 


Die Athleten 


Seit wir uns intensiv mit der Proble- 
matik auseinandersetzen, ist uns eines 
bewusst geworden: Fast jeder hat eine 
Meinung, wenn es um Doping geht. Bei 
den Athleten als den in besonderer Weise 
Betroffenen ist diese verständlicherwei- 
se durch den Wunsch geprägt, möglichst 
wenig „Ärger“ mit den Doping-Kontrol- 
len zu haben. Würden die Athleten eves 
als Erleichterung empfinden, so wie wir 
dies beabsichtigen? 

Um dies herauszufinden, wurde 
im Oktober 2014 gemeinsam mit der 
NADA und dem Deutschen Olympi- 
schen Sportbund eine anonyme Befra- 
gung unter 800 Leistungssportlern und 
90 Prüfern durchgeführt. Unter anderem 
waren sämtliche Olympiateilnehmer des 
Deutschen Teams aus Sotchi und Lon- 
don beteiligt. Die Auswertung hat erge- 
ben, dass der überwiegende Teil beider 
Gruppen die Einführung eines Systems 
wie eves begrüßen würde. 

Im Rahmen dieser Untersuchung wur- 
den wir allerdings auch mit einigen typi- 
schen Fragen konfrontiert, die von den 
Athleten aufgeworfen wurden. Sie zei- 
gen, dass Athleten neben dem Wunsch, 
„Ärger“ mit den Doping-Kontrolleuren 
zu vermeiden, einerseits sehr wohl zu 
Kompromissen bereit sind, andererseits 
aber keine unbeschränkte Überwachung 
akzeptieren und ihr informationelles 
Selbstbestimmungsrecht erfreulich hoch 
bewerten. Wir dokumentieren einige der 
aufschlussreichen Fragen und unsere 
Antworten an dieser Stelle. 


A: Wo ist der Unterschied zu einer elek- 
tronischen Fußfessel? 

S: Die Teilnahme an eves ist freiwillig. 
Das System ergänzt die Ortsanga- 
ben, die in ADAMS vom Athleten 
hinterlegt werden. Im Gegensatz zur 
Fußfessel sendet und speichert eves 
grundsätzlich keine Daten. Es wird 
nur ausnahmsweise aktiv und ermit- 
telt und sendet die Position, wenn 
es über eine sichere Verbindung zur 
Anbahnung einer Prüfung von auto- 
risierten Personen dazu aufgefordert 
wird. 

A: Ich besitze doch schon ein Smartpho- 


DANA » Datenschutz Nachrichten 4/2014 


ne — weshalb also keine App? 

S:Das hat mehrere Gründe. Selbst wenn 
die App vorbildlich programmiert 
wäre, könnte nicht sichergestellt wer- 
den, dass andere Anwendungen nicht 
auch auf die App zugreifen. Nur der 
Prüfer darf jedoch die Ortsangabe 
erhalten, ohne dass weitere Personen 
dies mitbekommen — auch nicht der 
Athlet selbst. 

A:Ich kenne meine Rechte. Wie erfahre 
ich, was eves über mich speichert? 
S:Auf einem Server in Deutschland ist 
jedem Athleten eine Nummer zuge- 
ordnet. Über diese Nummer kann der 
Server mit dem Gerät Kontakt auf- 
nehmen. Er erhält dann den Ort, den 
das Gerät im Augenblick der Abfrage 
ermittelt und leitet diesen an den Prü- 
fer weiter. Der Athlet kann nach einer 
durchgeführten Kontrolle selbst prü- 
fen, wann eine Ortsabfrage erfolgte, 
indem er die Protokolldatei einsicht. 
Die Orte selbst werden nicht gespei- 

chert. 

A: Was hat Priorität: Die Ortsangabe in 
ADAMS oder die von eves ermittelte 
Position? 

S:Wenn der Athlet nicht angetroffen 
wird, erhält er, wie bisher auch, Ge- 
legenheit zu einer Stellungnahme. 
Im Zweifelsfall wird zu Gunsten des 
Athleten entschieden. 


Was kommt als Nächstes? 


Aktuell ist das eves Team bestehend 
aus Athleten, der Nationalen Anti-Do- 
ping Agentur NADA, dem Fraunhofer 
Institut AISEC, Datenschützern, System- 
analytikern und Hardware-Spezialisten 
in der Vorbereitung auf einen Feldtest 
mit Freiwilligen aus unterschiedlichen 
Sportarten. Dort soll die Gebrauchstaug- 
lichkeit des Systems im Alltag getestet 
und Rückschlüsse für den sicheren 
Dauerbetrieb gezogen werden. Die 
Forderung nach Verfügbar- 
keit, Integrität, Vertrau- 
lichkeit und Verbind- 
lichkeit einerseits 


und Transparenz, Intervenierbarkeit und 
Nichtverkettbarkeit andererseits der per- 
sonenbezogenen Daten ist dabei für alle 
Projektbeteiligten oberstes Ziel. 

In Politik und Öffentlichkeit scheint 
immer noch die Meinung vorzuherr- 
schen, dass jeder Profi-Sportler nur 
durch die Anti-Doping-Kontrollen ab- 
gehalten wird, seine Leistungen mit 
unerlaubten Mitteln zu steigern. Das ist 
falsch. Die Athleten unterziehen sich 
dem harten Anti-Doping-Regime, um 
gleiche und faire Bedingungen für alle 
zu erhalten. 

Es gilt, die Athleten in Fragen der 
Verwendung und Schutz ihrer Daten zu 
sensibilisieren. Und es gilt den immer 
subtileren Methoden der Betrüger etwas 
entgegenzusetzen. 

Es hat hier überrascht, dass es das 
ADAMS System bislang noch nicht 
auf die Negativ-Liste des Big Brother 
Awards (https://www.bigbrotherawards. 
de/archive) geschafft hat. 

Wir sind uns darüber im Klaren, dass, 
durch eine Ergänzung von ADAMS 
durch eves, die bestehenden daten- 
schutzrechtlichen Mängel nicht beho- 
ben sind. Jedoch möchten wir in einem 
ersten Schritt aufzeigen, dass sich das 
Ziel der unangekündigten Trainingskon- 
trollen mit entsprechenden datenschutz- 
konformen Mitteln sogar effektiver und 
effizienter erreichen lässt. Sobald hier- 
für ein Bewusstsein bei den verantwort- 
lichen Institutionen geschaffen ist, muss 
die Sinnhaftigkeit einer weiteren Pflege 
der Whereabouts hinterfragt werden. 


Wer weiß — vielleicht löst Eva ja eines 
Tages Adam ab? 


Bild: ClipDealer.de 
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Arnold von Bosse 


Verfassungsbeschwerde gegen das Bestandsdaten- 
Auskunftsgesetz Mecklenburg-Vorpommern 


Das heimliche Abrufen von elektro- 
nisch generierten Telekommunikations- 
Daten durch Verfassungsschutz und Po- 
lizei ist im Telekommunikationsgesetz 
des Bundes (TKG) und in den entspre- 
chenden Landesvorschriften normiert. 
Wie wird hier die Balance zwischen 
Sicherheitsinteressen auf der einen Seite 
und Schutz der Intimsphäre auf der an- 
deren Seite austariert? 

Immerhin geht es einerseits z.B. um 
das Verhindern eines im Internet ange- 
kündigten Selbstmordes oder Amoklau- 
fes, andererseits um die Missbrauchs- 
gefahr, die im staatlich erfolgten Abruf 
tausendfacher Zugangssicherungscodes 
(PIN, PUK, Passwörter, Zugang zu E- 
Mail-Konten oder Cloud-Speichern) 
liegen kann. 

Um das zu überprüfen, ist im Juni 
2014 eine durch die Partei Bündnis 
90/Die Grünen initiierte Verfassungs- 
beschwerde beim Landesverfassungs- 
gericht Mecklenburg-Vorpommern 
in Greifswald eingelegt worden. Der 
sperrige Name des angegriffenen Ge- 
setzes: „Gesetz zur Änderung des Lan- 
desverfassungsschutzgesetzes und des 
Sicherheits- und Ordnungsgesetzes zur 
Regelung der Bestandsdatenauskunft 
v. 2.7.2013‘ (Lt-Drucksache 6/1630) — 
kurz: Bestandsdaten-Auskunftsgesetz 
M-V (siehe Auszug im grauen Kasten). 

Dabei ist schon der Name irreführend 
und verharmlosend: „Bestandsdaten“ 
sind z.B. die Adress- und Vertragsdaten 
(Kundendaten im Sinne der $$ 95, 111 
TKG der Telekommunikations-Dienste- 
Anbieter (Provider)). Diese Daten sind 
am wenigsten schützenswert und nicht 
Gegenstand der verfassungsrechtlichen 
Kritik: Eigentlich hätte das Gesetz „In- 
halts- und Verkehrsdaten-Auskunftsge- 
setz“ heißen müssen. Denn diese Daten 
sind es, die die geschützte Intimsphäre 
offen zu legen in der Lage sind: Weil 
nämlich indirekt durch das im ange- 
griffenen Gesetz erlaubte Abrufen von 
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Zugangssicherungscodes von Handys 
und Computern auch Inhaltsdaten, z.B. 
durch Bewegungsprofile, sichtbar wer- 
den. Die zweite Daten-Kategorie im 
angegriffenen Gesetz sind die Verkehrs- 
daten, zu denen die „dynamischen Inter- 
net-Protokoll-Adressen (IP-Adressen)“ 
gehören. Diese werden dem Internet- 
Nutzer immer wieder neu beim Auf- 
schlagen einer Homepage zugeordnet: 
Auch hier sind Rückschlüsse auf Inhalte 
möglich. 

Im Folgenden sollen die wesentlichen 
Angriffspunkte der Beschwerde aufge- 
zeigt werden. Motivation der Beschwer- 
de war, dass das o.g. Landesgesetz bzgl. 
des Schutzes der persönlichen Verbin- 
dungsdaten hinter ähnlichen Gesetzen 
aller anderen Bundesländer und des 
Bundes zurück bleibt. 

Die Verfassungsbeschwerde macht 
geltend, dass die neuen, zum 1.7.2013 
in Kraft getretenen Vorschriften des 
Bestandsdaten-Auskunftsgesetz M-V 
mit Verweis auf das Landesverfassungs- 
schutz-Gesetz M-V (LVerfSchG) und 
das Sicherheits- und Ordnungs-Gesetz 
M-V (SOG) gegen das Datenschutz- 
grundrecht aus Art. 6 (1) Landesverfas- 
sung M-V (LV) und die Rechtsschutzga- 
rantie (Art. 19 (4) Grundgesetz) versto- 
ßen und daher nichtig sind. 


Art. 6 (1) LV lautet: 

„Jeder hat das Recht auf Schutz sei- 
ner personenbezogenen Daten. Dieses 
Recht findet seine Grenzen in den Rech- 
ten Dritter und in den überwiegenden 
Interessen der Allgemeinheit.“ 

Art. 6 (1) LV als Datenschutzgrund- 
recht findet seine Inhaltsbestimmung 
auch in Art. 10 GG (Fernmeldegeheim- 
nis) und im informationellen Selbstbe- 
stimmungsrecht (Art. 2 (1) i. V. m. Art. 
1 (1) GG sowie in der speziellen Aus- 
prägung als „Recht auf Gewährleistung 
der Vertraulichkeit und Integrität infor- 
mationstechnischer Systeme“. 


Die  verfassungsrechtlichen Prüf- 
grundsätze ergeben sich dabei vor allem 
- aus dem sog. Vorratsdatenurteil des 

Bundesverfassungsgerichts (BVerfG) 

v. 2.3.2010 (1 BVR 256/08) 

- und aus dem Beschluss des BVerfG v. 
24.1.2012 (1 BVR 1299/05) zur Ver- 
fassungswidrigkeit des Abrufes von 
Daten zu Zugangssicherungs-Codes 
von Mobiltelefonen und Computern 
und der Daten zu dynamischen IP- 
Adressen. Die untenstehend geprüf- 
ten Landesgesetzes-Änderungen sind 
in Folge dieser Entscheidung ergan- 
gen, um den strengen Vorgaben des 
BVerfG Genüge zu tun. Diese Vorga- 
ben sind aber im Bestandsdaten-Aus- 
kunftsgesetz M-V aus Sicht der Be- 
schwerdeführer (und des Autors, der 
der Verfasser der Beschwerdeschrift 
ist) nicht erfüllt. 


I. Zum neuen $ 24b LVerfSchG 


Das Landesverfassungsschutz-Gesetz 
erlaubt u. a. die vorbeugende Sichtung 
von Gefahren für den Staat und die Be- 
nachrichtigung der Regierung über ver- 
fassungsrechtlich relevante Einschät- 
zungen durch den Landesverfassungs- 
schutz. 


1. Zur Berechtigung bzgl. des Abru- 
fes von Zugangssicherungs-Codes 


a.Die sog. Bestimmtheit der gesetzli- 
chen Regelung, die für den Datenab- 
ruf gemäß der Schwellen-Vorgaben 
des Grundrechts auf Datenschutz in 
Art. 6 LV-MV gefordert wird, ist un- 
zulänglich: Denn die Zwecke des Ab- 
rufes der Daten sind nicht normiert. 
Die vom BVerfG geforderte Normen- 
klarheit fehlt: Der bloße Verweis auf 
die „gesetzlichen Voraussetzungen“ 
reicht nicht. Weder der Bürger, der 
Anspruch auf Rechtsschutz hat (Art. 
19 (4) GG) noch der einfache Poli- 
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zeibeamte haben im Alltag Kenntnis, 
welche Vorschriften sich dahinter ver- 


bergen. 
b.Die Normierung der nachträglichen 
Mitteilungspflichten, nachdem die 


Daten zu den Codes abgerufen wur- 
den, fehlt. Sucht man danach, findet 
man zwar $ 2 im Gesetz zur Ausfüh- 
rung des Art. 10-Gesetzes, GVBI.M- 
V 1992, 486 (Gesetz zur Kontrolle 
des Verfassungsschutzes, wenn in das 
Telekommunikations-Geheimnis aus 
Art. 10 GG eingegriffen wird). 


Hier wird aber nur die Pflicht zu Mit- 
teilungen für den Abruf von Daten bei 
laufender Telekommunikation geregelt. 
Bzgl. der bereits abgelegten Daten (z.B. 
auf Mobiltelefonen, wenn das „surfen“ 
beendet ist) gibt es keine nachträglichen 
Mitteilungspflichten. 

Der Eingriff in die Privatsphäre hat 
aber bzgl. des Abrufes von Daten aus 
laufender und abgeschlossener Kom- 
munikation eine ähnliche Intensität. Das 
Fehlen dieser Mitteilungspflichten führt 
zur Verfassungswidrigkeit von $ 24b 
LVerfSchG bzgl. dieses Aspektes, da der 
Betroffene nach dem heimlichen Abruf 
der Daten aufgrund Nichtwissens sich 
nicht wehren kann (Verstoß gegen Art. 
6 LV und Art. 19 (4) GG gem. dem vom 
BVerfG entwickelten Gebot des „effek- 
tiven Rechtsschutzes‘“). 


c. Es stellt einen verfassungsrechtlichen 
Mangel dar, dass ein sog. Richtervor- 
behalt (also die Vorab-Genehmigung 
vor dem Eingriff in die Privatsphäre) 
weder für den Abruf von Daten zur 
laufender Kommunikation noch beim 
Abruf von abgelegten Daten geregelt 
ist. 


Im Polizeirecht (beim Drohen von Ge- 
fahren, siehe unten) gibt es jedoch den 
Richtervorbehalt zumindest beim Abruf 
der Daten zu laufender Kommunikation. 
Es wäre daher auch im Rahmen der bis- 
herigen landesgesetzlichen Systematik 
konsequent, dies auch im Verfassungs- 
schutzrecht vorzusehen. 

Der Richtervorbehalt ist bei erheb- 
lichen Eingriffen verfassungsrechtlich 
geboten. Gewichtige Stimmen von Ver- 
fassungsrechtlern (siehe unten zur Lite- 
ratur/Stellungnahmen) sind der Auffas- 
sung, dass der Richtervorbehalt geboten 
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ist, da es sich beim Abruf von Daten zu 
Codes und IP-Adressen um intensive 
Eingriffe in die Privatsphäre handelt. 
Denn aus den sog. Verkehrsdaten kann 
oft auch — wie oben dargelegt - auf die 
Inhalte und schützenswerte persönli- 
che Vorlieben geschlossen werden. Der 
Richtervorbehalt wird weiter unten 
nochmals thematisiert. 


2. Zur Berechtigung bzgl. des 
Abrufes von Daten zu dynamischen 
IP-Adressen 


a.Die Bestimmtheit fehlt auch hier, 
die bloße Bezugnahme auf das Bun- 
desgesetz ($ 113 TKG) reicht nicht. 
Bei Eingriffen in Grundrechte, z.B. 
Art. 6 LV, müssen die Voraussetzun- 
gen des Eingriffes möglichst genau 
geregelt sein, damit dem Willkür- 
Verbot aus Art. 20 (3) GG Genü- 
ge getan wird. Auch der Europäi- 
sche Gerichtshof hat am 8.4.2014 
(C-293/12 und C-594/12) den Daten- 
schutz gestärkt, indem er forderte, dass 
klare Schranken bzgl. des Abrufes von 
privaten Daten normiert werden (Ver- 
hältnismäßigkeits-Grundsatz). 


b.Mitteilungspflichten sind (im Ge- 
gensatz zu den abgelegten Daten zu 
Codes) beim Abruf der Daten zu dy- 
namischen IP-Adressen im neuen 
$ 24b des LVerfSchG erfreulicherwei- 
se geregelt. Allerdings fehlt auch hier 
der Richtervorbehalt. 


II. Zu $ 282 SOG M-V 


Das Sicherheits- und Ordnungs-Ge- 
setz betrifft das Handeln der Landes- 
polizei beim Drohen von Gefahren für 
die öffentliche Sicherheit und Ordnung 
(z.B. Ankündigung von Stalking oder 
einem Amoklauf im Internet). 


1. Abruf von Zugangssicherungscodes 


a.Die Bestimmtheit der Regelung des 
Abrufes der Codes ist auch hier nicht 
ausreichend. Der Begriff „konkrete“ 
Gefahr fehlt (Vorgabe des BVerfG). 
Es wird keine Eingrenzung auf nur 
„gewichtige Ordnungswidrigkeiten“ 
vorgenommen (Vorgabe des BVerfG). 
Der bloße Verweis auf die „gesetzli- 
chen Voraussetzungen“ reicht nicht. 


b.Nachträgliche Mitteilungspflichten 
sind zwar in $ 34a (7) SOG geregelt; 
dies gilt aber nur für den Abruf von 
Daten zu laufender Kommunikation. 
$ 28a SOG ist also insofern verfas- 
sungswidrig, als die Normierung von 
Benachrichtigungs-Pflichten nach 
dem heimlichen Abruf von abgelegten 
Daten fehlt. 

c.Sucht man den Richtervorbehalt, 
so findet man ihn in $ 34a (4) SOG. 
Aber dieser gilt nicht für den Ab- 
ruf von schon abgelegten Daten. Die 
Eingriffsintensität in die Privatsphäre 
ist aber die gleiche wie bei laufender 
Kommunikation. $ 28a SOG ist also 
bzgl. dieses Aspektes verfassungswid- 
rig, da die aufgrund des Datenschutz- 
grundrechts in Art. 6 LV notwendige 
Schwelle des Richtervorbehaltes als 
einzelfallbezogene Grundrechtssiche- 
rung bei abgelegten Daten fehlt. 


2.Abruf von Daten zu dynamischen 
IP-Adressen 


a. Die Bestimmtheit reicht nicht; der ge- 
naue Zweck ist nicht benannt, siehe 
oben. 

b. Auch hier fehlt nach Auffassung der 
Beschwerdeführer der Richtervorbe- 
halt. Allerdings widerspricht sich das 
BVerfG in seiner o.g. Vorratsdaten- 
Entscheidung selber (mal wird ein 
intensiver Eingriff in die Intimsphäre 
angenommen (Rz. 211), mal wird der 
Richtervorbehalt mit der Begründung 
abgelehnt, es handele sich nicht um 
eine große Eingriffsintensität (Rz. 
261)). Zudem formulierte das BVerfG, 
IP-Adressen seien zwar Verkehrsda- 
ten, aber sie seien nicht so eingriffsin- 
tensiv wie bei anderen Verkehrsdaten, 
da die Verwendung nur „mittelbar“ 
erfolge (Vorratsdaten-Urteil, Rz. 254). 


Bzgl. dieses Widerspruchs im Vor- 
ratsdaten-Urteil des BVerfG befragte 
der Verfasser der Beschwerdeschrift den 
Datenschutzbeauftragten von Berlin, 
Dix. Dieser antwortete am 15.4.2014 
wie folgt: 

„Das Gericht hatte in der Vorrats- 
daten-Entscheidung die Tragweite der 
IP-Adresse als „Generalschlüssel“ zum 
Kommunikationsverhalten der Internet- 
Nutzer verkannt (trotz entsprechender 
Hinweise der Sachverständigen in der 
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mündlichen Verhandlung). Praktisch 
läuft die Personalisierung der IP-Adres- 
sen so, dass eine Strafverfolgungsbehör- 
de, die IP-Adressen hat, zunächst bei der 
Bundesnetzagentur nachfragen muss, 
welcher Provider den entsprechenden 
Block an IP-Adressen vergeben hat. Der 
jeweilige Provider teilt der Strafverfol- 
gungsbehörde (oder Gefahrenabwehr- 
Behörde — Einschub durch Verfasser) 
dann mit, welchem Nutzer eine be- 
stimmte (meist dynamische, selten stati- 
sche) IP-Adresse zugewiesen war, wenn 
der Provider die Daten noch hat (noch 
nicht gelöscht hat). Dieser Prozess hat 
offenbar das BVerfG zur Wahl des Attri- 
buts „mittelbar“ veranlasst.“ 

Es spricht also vieles dafür, die Ein- 
griffsintensität bzgl. des Abrufes von 
dynamischen IP-Adressen als intensiv 
einzuordnen — mit der Folge der Not- 
wendigkeit eines Richtervorbehaltes. 

Abschließend sei angemerkt, dass die 
Relevanz der „Bestandsdatenauskunft“ 
nicht zu unterschätzen ist: Immerhin 
erfolgten 2013 bundesweit durch die 
Behörden z.B. allein von Google 6000 
und von Facebook 4000 Datenabrufe 
(Transparenz-Berichte 5.5.2014). Im 
Übrigen muss die Entwicklung der sog. 
statischen IP-Adressen (Version 6) be- 
obachtet werden, da die technische Ent- 
wicklung diesbezüglich zu einem noch 
tieferen Eingriff in die Privatsphäre füh- 
ren kann, als bisher vorstellbar. Auch 
daher bietet es sich an, die Eingriffs- 
Schwellen-Voraussetzungen als Ver- 
fahrenssicherung vorsorglich nicht zu 
niedrig anzusetzen, um nicht alle 2 Jahre 
die Gesetze an die rasanten technischen 
Entwicklungen anpassen zu müssen. 


Literatur, Stellungnahmen und ein 
weiteres Urteil zu der obigen Problema- 
tik: 


Roggenkamp, Neuregelung zur Bestands- 
datenauskunft verfassungswidrig!, NJW- 
aktuell 21/2013, S. 12 


Kugelmann, Dalby, Die Neuregelung der 
Bestandsdatenauskunft gem. $ 113 TKG 
und die Notwendigkeit des Grundrecht- 
schutzes durch Verfahren, Festschrift für 
Kutscha, Das Recht in guter Verfassung?, 
2013, 114 (Kugelmann gab auch eine ähn- 
lich lautende Stellungnahme im Gesetzge- 
bungsverfahren in M-V ab). 


Gusy, Stellungnahme v. 2.5.13 zur Anhö- 
rung bzgl. der Anderung des Polizeigesetzes 
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NRW - LT-Drs. 16/2256 


Neue Richtervereinigung Schleswig-Hol- 
stein, Stellungnahme v. 3.6.2013 zur Anpas- 
sung des manuellen Abrufs der Bestands- 
daten nach dem TKG, LT-Dr. 18/1713 


Albrecht, Stellungnahme v. 8.5.2013 zur 
Anhörung zum Gesetz zur Änderung des 


Auszug 


$ 24b LVerfSchG M-V 

Gesetz über den Verfassungsschutz im 
Lande Mecklenburg-Vorpommern (Lan- 
desverfassungsschutzgesetz — LVerfSchG 
M-V) 

Quelle: http://www.lexsoft.de/cgi-bin/ 
lexsoft/justizportal_nrw.cgi?t=14114557 
0986982651 &sessionID=209388122181 
0774250&source=link&highlighting=off 
&templatelD=document&chosenIndex= 
Dummy_nv_68&xid=188081,35 


Abschnitt: Abschnitt 3 — Informations- 
übermittlung und Auskunftserteilung 

$ 24b LVerfSchG M-V — Weitere Aus- 
kunftsverlangen 


(1) Soweit dies zur Erfüllung der Auf- 
gaben der Verfassungsschutzbehörde 
erforderlich ist, darf von demjenigen, 
der geschäftsmäßig Telekommunikati- 
onsdienste erbringt oder daran mitwirkt, 
im Einzelfall Auskunft über die nach den 
$$ 95 und 111 des Telekommunikations- 
gesetzes vom 22. Juni 2004 (BGBl. IS. 
1190), das zuletzt durch Artikel 1 des 
Gesetzes vom 20. Juni 2013 (BGBl. IS. 
1602) geändert worden ist, erhobenen 
Daten verlangt werden ($ 113 Absatz 1 
Satz 1 des Telekommunikationsgesetzes). 
Bezieht sich das Auskunftsverlangen 
nach Satz 1 auf Daten, mittels derer der 
Zugriff auf Endgeräte oder auf Speiche- 
reinrichtungen, die in diesen Endgeräten 
oder hiervon räumlich getrennt eingesetzt 
werden, geschützt wird ($ 113 Absatz 1 
Satz 2 des Telekommunikationsgesetzes), 
darf die Auskunft nur verlangt werden, 
wenn die gesetzlichen Voraussetzungen 
für die Nutzung der Daten vorliegen. 

(2) Die Auskunft nach Absatz 1 darf 
auch anhand einer zu einem bestimmten 
Zeitpunkt zugewiesenen Internetproto- 
koll-Adresse verlangt werden ($ 113 Ab- 
satz 1 Satz 3 des Telekommunikationsge- 
setzes). 

(3) Von einer Beauskunftung nach 
Absatz 2 ist die betroffene Person zu be- 
nachrichtigen. ... 


Polizeigesetzes NRW, LT-Drs. 16/2256 
BVerfGE 120, 274 (Online-Durchsuchung) 


Verfassungsgerichtshof Thüringen, Urteil v. 
21.11.2012 (VerfGH 19/09) 


Die Verfassungsbeschwerde ist unter www. 
bestandsdatenauskunft-mv.de abrufbar. 


Auszug 


$ 28a SOG M-V 

Gesetz über die öffentliche Sicherheit 
und Ordnung in Mecklenburg-Vorpom- 
mern (Sicherheits- und Ordnungsgesetz — 
SOG M-V) - Landesrecht Mecklenburg- 
Vorpommern 

Quelle: http://www.lexsoft.de/cgi-bin/ 
lexsoft/justizportal_nrw.cgi?t=14114555 
2983903551 &sessionID=209388122181 
0774250&chosenIndex=Dummy_nv_68 
&templatelD=document&source=conte 
xt&source=context&highlighting=off&x 
id=188215,129 


Abschnitt: — Unterabschnitt 1 — Da- 
tenerhebung 

$ 28a SOG M-V - Erhebung von Te- 
lekommunikationsdaten im manuellen 
Auskunftsverfahren 

(1) Die Polizei kann zur Abwehr einer 
im einzelnen Falle bevorstehenden Ge- 
fahr von demjenigen, der geschäftsmä- 
Big Telekommunikationsdienste erbringt 
oder daran mitwirkt (Diensteanbieter), 
Auskunft über die nach den $$ 95 und 
111 des Telekommunikationsgesetzes 
vom 22. Juni 2004 (BGBl. IS. 1190), das 
zuletzt durch Artikel 1 des Gesetzes vom 
20. Juni 2013 (BGBl. IS. 1602) geändert 
worden ist, erhobenen personenbezo- 
genen Daten verlangen ($ 113 Absatz 1 
Satz 1 des Telekommunikationsgesetzes). 
Bezieht sich das Auskunftsverlangen 
nach Satz 1 auf Daten, mittels derer der 
Zugriff auf Endgeräte oder auf Speiche- 
reinrichtungen, die in diesen Endgeräten 
oder hiervon räumlich getrennt eingesetzt 
werden, geschützt wird ($ 113 Absatz 1 
Satz 2 des Telekommunikationsgesetzes), 
darf die Auskunft nur verlangt werden, 
wenn die gesetzlichen Voraussetzungen 
für die Nutzung der Daten vorliegen. 

(2) Die Auskunft nach Absatz 1 darf 
auch anhand einer zu einem bestimmten 
Zeitpunkt zugewiesenen Internetproto- 
koll-Adresse verlangt werden ($ 113 Ab- 
satz 1 Satz 3 des Telekommunikationsge- 
setzes). In diesem Fall ist die betroffene 
Person über die Beauskunftung zu unter- 
richten 
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Moritz Eggert 


„Ich akzeptiere die Nutzungsbedingungen” 


Bericht von der Uraufführung einer Vertonung der Nutzungsbedingungen von Google 


Es geschieht immer wieder, dass man 
als Komponist gebeten wird, ein Stück 
für eine Feierlichkeit zu komponieren. 
So bat mich die Goethe-Universität 
Frankfurt am Main, zu ihrer 100-Jahr 
Feier eine Komposition beizutragen. 

Ein Stück zum Jubiläum der Goethe- 
Universität Frankfurt zu komponieren 
beinhaltet die Verantwortung, dem Na- 
men und der Bedeutung dieser Universi- 
tät gerecht zu werden. Doch wie erreicht 
man dies? Naheliegend erschien mir zu- 
erst, einen Text von Goethe zu vertonen: 
etwas Schönes, Festliches, zum Anlass 
Passendes. Man hätte danach gerührt 
und ergriffen einander die Hände schüt- 
teln und wieder zur Tagesordnung über- 
gehen können. 

Doch dann dachte ich mir, dies wäre es 
sich zu leicht gemacht, angesichts der po- 
litischen und oft progressiven Rolle, die 
diese Universität in der Vergangenheit 
gespielt hat; vor allem, da man bei einem 
Jubiläum doch eher in die Zukunft bli- 
cken sollte, anstatt sich auf den Lorbee- 
ren der Vergangenheit auszuruhen. 

Deswegen fand ich es schließlich pas- 
send, eines der großen Themen unser 
aller Zukunft (und natürlich Gegenwart) 
in den Mittelpunkt meiner Komposition 
zu stellen, nämlich den zunehmenden 
und größtenteils von uns freiwillig in 
Kauf genommenen Verlust von Freiheit 
in der digitalen Welt. 

Stellen Sie sich vor, Sie gehen in eine 
Bäckerei und kaufen ein Stück Brot. 
Doch bevor Ihnen der Bäcker das Brot 
verkauft, will er alles Mögliche von 
Ihnen wissen: Wie Sie heißen, wo Sie 
wohnen, wie alt Sie sind. Ihr Beruf, Ihre 
Hobbies, alle Ihre Interessen. Welche 
Freunde Sie haben, wo Sie gerade her- 
kommen, wohin Sie gereist sind, wohin 
Sie reisen werden. Welcher Schicht Sie 
angehören, wieviel Sie monatlich ver- 
dienen, für was Sie in der letzten Zeit 
Geld ausgegeben haben, und für was 
Sie Geld auszugeben gedenken. Was Sie 
sich gerne anschauen, welche Filme Sie 
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mögen, welche Bücher Sie lesen, was 
Ihre politische Gesinnung ist, welche 
sexuellen Vorlieben Sie haben, ob Sie 
heterosexuell, homosexuell oder bise- 
xuell sind, ob Sie verheiratet sind oder 
ledig, wie viele Kinder Sie haben, was 
diese Kinder machen, wo sie zur Schule 
gehen, wo sie studieren. Und das ist nur 
der Anfang einer langen Liste von Fra- 
gen, die Ihnen der Bäcker stellt. 

Nachdem Sie all diese Fragen beant- 
wortet haben (und der Bäcker erkennt, 
wenn Sie lügen, weil er bereits Informa- 
tionen über Sie von anderen Bäckern, 
Metzgern und Obsthändlern erhalten hat 
— also müssen Sie die Wahrheit sagen), 
hält Ihnen der Bäcker ein Dokument 
hin, das Sie unterschreiben müssen. In 
diesem Dokument steht, dass der Bä- 
cker all die Informationen, die Sie ihm 
gerade gegeben haben, beliebig wei- 
terverwenden, speichern und vor allem 
an Dritte weitergeben kann, wie es ihm 
beliebt. Er kann Ihnen von nun an alles 
vorschlagen, was Sie in Zukunft kaufen 
sollen, er kontrolliert, welche Waren 
Ihnen beim nächsten Einkaufsbummel 
präsentiert werden, und verdient mit da- 
ran, wenn Sie diese Waren kaufen. Und 
da er speichern kann, welche Waren Sie 
kaufen, kann er immer exakter die Wa- 
ren bestimmen, die Sie kaufen werden. 
Nur Sie selbst wissen noch gar nicht, 
dass Sie diese Waren kaufen wollen. Er 
verfügt also fortan über all Ihre Daten, 
all Ihre Geheimnisse, und kann damit 
machen, was er will. Die Dritten, an die 
er die Informationen weitergeben wird, 
benennt er nicht genau, sondern nennt 
sie nur ominös seine „Partner“. 

Mal ehrlich: Gäbe es einen solchen 
Bäcker, würden Sie ihm diese Informati- 
onen geben, sein Dokument unterschrei- 
ben, seine Brötchen kaufen? Sicherlich 
nicht. Aber wenn Sie zum Beispiel ein 
Google-Konto eröffnen, um die ver- 
schiedenen Google-Dienste wie Google 
Calendar, Google Maps oder ähnliches 
zu verwenden, tun Sie genau dies. 


Sie klicken nämlich auf eine Schalt- 
fläche, auf der steht: „Ich akzeptiere 
die Nutzungsbedingungen“ und wahr- 
scheinlich nehmen Sie sich nicht die 
Zeit, die seitenlangen Erklärungen zu 
lesen, die Sie da unterschreiben. Nicht 
nur das, Sie akzeptieren die Nutzungs- 
bedingungen auch, wenn Sie überhaupt 
kein Google-Konto eröffnen, sondern 
einfach nur die Google-Suchmaschine 
verwenden, denn auch dann stimmen 
Sie als User diesen Nutzungsbedin- 
gungen zu, denn Sie verwenden eine 
Dienstleistung, die Ihnen Google zur 
Verfügung stellt. 

Der einzige Grund, warum wir alle 
(oder zumindest die meisten von uns) 
dies gedankenlos tun, ist: weil es so 
einfach ist. Dem Bäcker all unsere Ge- 
heimnisse persönlich zu erzählen würde 
sehr lange dauern, in der digitalen Welt 
werden aber all diese Geheimnisse ohne 
Mühe gesammelt, gespeichert, archi- 
viert. Und der Speicherplatz ist grenzen- 
los und wächst schneller als die Daten- 
mengen. 

In meinem Stück „Ich akzeptiere die 
Nutzungsbedingungen“ habe ich daher 
Auszüge dieser Nutzungsbedingungen 
vertont — durch die Transformation in 
Musik wirken manche Satzwendungen 
ganz anders als beim schnellen Durch- 
lesen. Das ist beabsichtigt. Kein Satz 
wurde von mir geändert oder hinzu- 
gefügt, ich habe den Text nur gekürzt, 
damit das Stück nicht eine Stunde dau- 
ert. Im Stil ist das Stück am ehesten 
mit einer Kantate zu vergleichen — der 
Sänger singt jeweils längere zusammen- 
hängende Passagen der Nutzungsbedin- 
gungen, ohne diese zu parodieren oder 
dramatisch aufzuladen. Gerade die Text- 
verständlichkeit war mir hierbei beson- 
ders wichtig. Durch die Transformation 
der trockenen Texte in melodische und 
durchaus auch emotional aufgeladene 
Konzertmusik entsteht ein beabsichtig- 
ter Verfremdungseffekt, denn normaler- 
weise nimmt man sich ja nicht die Zeit, 
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diese Art von Texten im Inneren nach- 
klingen zu lassen und über deren tiefere 
Bedeutung nachzudenken. Hierbei soll 
die Musik helfen. 

Vorgetragen wird das Ganze von ei- 
nem Bariton, der von einem größeren 
Streicherensemble begleitet wird (bei 
der Uraufführung in Frankfurt waren 
es der Sänger Peter Schöne und das 
Skyline-Orchester dirigiert von Michael 
Sanderling). 

Fast wäre die Aufführung am [18. 
Oktober 2014] in der Frankfurter Pauls- 
kirche nicht zustande gekommen - die 
Auftraggeber machten sich, nachdem 
sie den Titel des Stücks erfahren hat- 
ten, große Sorgen, ich hätte hier eine 
Art SM-Kantate vertont (was angesichts 
dessen, was Google mit uns macht, viel- 
leicht gar nicht so fern der Wahrheit ist). 
Dann waren sie aber Feuer und Flam- 
me — der Text der Nutzungsbedingun- 
gen wurde sogar ausgelegt und war als 
„Kleingedrucktes“ zu lesen. Soweit ich 
beurteilen kann, kam die Intention des 


Stückes bei den Hörern an, auch wenn 
diese angesichts einer Festveranstaltung 
mit vielen Reden wahrscheinlich das 
Allerschlimmste von einem zeitgenös- 
sischen Stück über diese Thematik er- 
wartet hatten. Anfängliches Misstrauen 
kippte um in große Begeisterung. Sogar 
der anwesende Bundespräsident rutsch- 
te zuerst deutlich wahrnehmbar bei den 
ersten Takten nervös auf seinem Stuhl 
herum — obwohl ihn die Thematik an- 
gesichts seiner persönlichen Vergangen- 
heit sicherlich interessiert haben sollte. 
Wie er das Stück dann fand, konnte ich 
ihn nicht mehr fragen, denn er wurde 
unter seinen eigenen „Nutzungsbedin- 
gungen“ von einem Pulk von Security- 
Leuten nach der Veranstaltung aus dem 
Saal gebracht, während das Publikum 
die Plätze nicht verlassen durfte. 

Hier möchte ich betonen, dass sich 
mein Stück nicht spezifisch gegen 
Google wendet. Die meisten Nutzungs- 
bedingungen - zum Beispiel von iTunes, 
Microsoft, Facebook etc. — ähneln sich 


im Grunde und sind nur leicht anders 
formuliert. Manche Passagen sind sogar 
vollkommen austauschbar und könnten 
auf viele Internetnutzungen zutreffen. 

Ich weiß nicht, ob wir nun alle mehr 
nachdenken werden, wenn wir das In- 
ternet nutzen. Aber ich weiß eines: 
Wenn wir diesen zunehmenden Verlust 
von Freiheit und Privatsphäre weiter- 
hin klaglos akzeptieren, wird der Tag 
kommen, an dem wir zu reinen Arbeits- 
und Konsumdrohnen verkommen, zu 
einer Masse von Menschen, die aufs 
Einfachste manipuliert und unterdrückt 
werden kann und dabei noch bestens bei 
Laune gehalten wird. Vielleicht ist das 
auch längst schon so. 

Und ich weiß noch etwas - vielleicht 
sollten wir nicht alle Kekse (oder „coo- 
kies“) die uns diese digitalen Bäcker- 
gesellen im Internet anbieten, so bedin- 
gungslos schlucken. Denn man soll kei- 
ne Süßigkeiten von Fremden annehmen. 
Man weiß nie, ob sie es gut mit einem 
meinen. 


Bürgerinitiativen protestieren gegen BND-Etat 


- 


Kein Steuergeld 


K>2, 


u. - 


für Grundrec 


Am 27.11.2014 um 08:30 Uhr fan- 
den sich bei kaltem Wind Aktive ver- 
schiedener Bürgerrechtsorganisationen 
(Campact, Digitalcourage, FIfF, wastun, 
DVD, Humanistische Union und Digi- 
tale Gesellschaft) vor dem deutschen 
Bundestag zur Demonstration gegen 
Steuerverschwendung und Überwa- 
chungswahn ein. 
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Bild: Campact 


Zusammen hatten die Bürgerrechts- 
organisationen aufgerufen, gegen das 
unsinnige Verpulvern von Steuergeldern 
zu protestieren, kurz vor der Beschluss- 
fassung durch den deutschen Bundestag, 
dem Bundesnachrichtendienst (BND) 
zusätzlich zum normalen Budget weitere 
300 Millionen Euro bis 2020 zur Verfü- 
gung zu stellen. Während der Demonst- 


ration wurde von einer Merkel-Darstel- 
lerin und einem Gabriel-Darsteller unter 
lautem Protestlärm den anwesenden Spi- 
on-Darstellern mit vollen Händen die 300 
Millionen zugeworfen. 

Wofür will der BND die zusätzlichen 
Mittel? Mit dem neuen Haushalt sollen 
auch neue Gelder für neue Überwachungs- 
technologien im Rahmen der “Strategi- 
schen Initiative Technik” bewilligt wer- 
den. Unter anderem sollen von dem Geld 
exklusive Informationen über Sicherheits- 
lücken in Computersystemen aus zwei- 
felhaften Quellen gekauft werden. Nicht 
etwa um die Bürgerinnen und Bürger zu 
schützen, sondern um noch besser digital 
in Systeme einbrechen zu können. 

Den bei der Demonstration anwesenden 
Politikern der Opposition (Anja Hajduk 
und Konstantin von Notz von den Grünen, 
Dietmar Bartsch und Andr& Hahn von der 
Linken) wurden 142.000 Unterschriften 
für eine schärfere Kontrolle der Geheim- 
dienste und den Schutz von Hinweisge- 
bern wie Edward Snowden übergeben. Re- 
gierungspolitiker blieben trotz mehrfacher 
Aufforderung der Demonstration fern. 
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Maut-Pläne sind eine Datenschutz-Zeitbombe 
Presseerklärung der DVD e.V. vom 12. November 2014 


Die Deutsche Vereinigung für Da- 
tenschutz e. V. (DVD) kritisiert den 
Entwurf eines Gesetzes zur Einführung 
einer Infrastrukturabgabe für die Be- 
nutzung von Bundesfernstraßen. Der 
Entwurf verstößt gegen wichtige Daten- 
schutzprinzipien. „Warum soll die Maut 
überhaupt elektronisch kontrolliert wer- 
den? Einige unserer Nachbarländer ha- 
ben zwar ebenfalls Mautsysteme, setzen 
dabei jedoch auf Papiervignetten und 
Polizeikontrollen; so spart man sich 
aufwendige Datenbanken und verzich- 
tet auf ein flächendeckendes Überwa- 
chungssystem.“, beanstandet Vorstands- 
mitglied Reinhard Linz. 

Wird jedoch ein automatisiertes Kon- 
trollsystem eingerichtet, müssen die 
Grundprinzipien des Datenschutzes, 
insbesondere die Zweckbindung, einge- 
halten werden. Die DVD moniert insbe- 
sondere, dass zu Abrechnungszwecken 
quasi nebenbei umfangreiche Bewe- 
gungsprofile von Autofahrern entste- 
hen werden. Will sich ein Autobesitzer 
die Maut zurückerstatten lassen, weil er 
ausschließlich Kreis- und Landstraßen 
benutzt, soll dies überprüfbar sein. Des- 
halb sollen Kennzeichen, Fotos sowie 
Zeit und Ort der Straßennutzung für bis 
zu 13 Monate gespeichert werden. Hier- 
zu sagt Vorstandsmitglied Frank Spa- 
eing: „Die Kontrolle von Rückzahlungs- 
ansprüchen ist doch überflüssig. Für 
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Inländer sollen Maut und Steu- 
ersenkung die Gesamtbelastung 
unverändert lassen: Wer Maut 
zahlt, dessen KFZ-Steuer wird in 
gleicher Höhe gesenkt. Wer keine 
Maut zahlt, bekommt auch kei- 
ne Steuersenkung. Warum sollte 
dann jemand eine Rückzahlung 
der Maut beantragen?“ 

Große Datensammlungen we- 
cken zudem stets Begehrlichkei- 
ten. Der Präsident des Bundes- 
kriminalamts, Jörg Ziercke, und 
auch der Berufsverband der Kri- 


WENN 27.\\ 1 


Sie in a 

ÖSTERREICH sollten Reisende 

ITALIEN aus dem Ausland 
SCHWEIZ auch bei uns 


MAUT 


BEZAHLEN 


Werbung der CSU für die Maut-Pläne. 
Quelle: http://www.csu.de/common/_migrated/csucontent/ 
wandzeitung_maut_quer_02.pdf 
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minalbeamten haben bereits gefordert, 
der Polizei Zugriff auf die Bewegungs- 
daten zu gewähren. Noch steht eine 
strenge Zweckbindung der Mautdaten 
im Gesetzentwurf. Aber das kann später 
durch Gesetzesänderungen aufgeweicht 
werden. Außerdem fehlen in dem Ge- 
setzesentwurf jegliche Regelungen zur 
Datensicherheit. Die DVD gibt hierzu 
zu Bedenken, dass das Bundesverfas- 
sungsgericht bereits in seinem Urteil 
zu  Telekommunikations-Vorratsdaten 
„hinreichend anspruchsvolle und nor- 
menklare Regelungen hinsichtlich der 
Datensicherheit“ gefordert hat. „Hier 
sehen wir bezüglich des Gesetzesent- 
wurfs großen Nachholbedarf‘, betont 
Vorstandsmitglied Frans Valenta. 

Aus Sicht der DVD wird mit Einfüh- 
rung der Pkw-Maut erneut eine Infra- 


Datenschutz 
Nachrichten 


struktur geschaffen, welche zur Über- 
wachung der Bürgerinnen und Bürger 
ausgenutzt werden kann, wenn sich das 
politische Klima ändert. Wenn nur für 
eine hohe Kontrolldichte umfangreiche 
Bewegungsprofile angelegt werden, be- 
trachtet die DVD das als Verstoß gegen 
den Datenschutzgrundsatz der Erfor- 
derlichkeit und Datensparsamkeit. Die 
DVD fordert daher den Deutschen Bun- 
destag auf, keinem Gesetz zuzustimmen, 
das unangemessen und zugleich unnö- 
tig Bewegungsprofile von Kfz-Nutzern 
speichert. Für die übrigen Mautdaten 
muss eine strenge Zweckbindung gelten. 
Regelungen zur Sicherheit, etwa bei der 
Datenübermittlung, und zu einer zuver- 
lässigen Datenlöschung zum frühest- 
möglichen Zeitpunkt müssen außerdem 
in das Gesetz aufgenommen werden. 
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online zu bestellen unter: www.datenschutzverein.de 
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Datenschutznachrichten aus Deutschland 


Bund 


DatenschützerInnen 
warnen vor PKW-Maut- 
System 


Bundesverkehrsminister Alexander 
Dobrindt hat am 30.10.2014 sein neues 
Mautkonzept vorgestellt. Demnach soll 
es eine Abgabe für Personenkraftwagen 
(PKW) auf Autobahnen geben. Das Un- 
ternehmen Toll Collect kontrolliert be- 
reits, ob die LKW-Maut bezahlt wurde, 
indem es die Fahrzeuge an Mautbrücken 
erfasst, die sich über die Fahrbahn span- 
nen. Dobrindt plant ähnliches nun auch 
für PKW, die er ab 2016 ins Mautsystem 
einbeziehen will. Über das Kennzeichen 
soll das Bundesamt für Güterverkehr 
(BfG) feststellen können, ob die Maut 
für einen PKW entrichtet ist oder nicht. 
Dazu gleicht es die Autonummer mit 
dem sogenannten Infrastrukturabgabe- 
register ab, in dem das Kraftfahrtbun- 
desamt (KBA) in Flensburg alle Maut- 
zahlerInnen erfassen soll. Die Maut soll 
für alle Autos und Wohnmobile bis 3,5 
Tonnen Gewicht auf Autobahnen erho- 
ben werden. Inländische Fahrzeughalter 
werden unter dem Strich nicht belastet, 
weil sie die Mautgebühr erstattet be- 
kommen. 

DatenschützerInnen fürchten von 
Anfang an, dass mit dem Mautkontroll- 
system Bewegungsprofile von Autofah- 
rerInnen erstellt werden und dass Behör- 
den die Daten auch für andere Zwecke 
nutzen könnten, als Mautpreller dingfest 
zu machen. Der rheinland-pfälzische 
Datenschutzbeauftragte Edgar Wagner 
meinte: „Besser wäre es, auf Techniken 
zu verzichten, die solche Gefahren für 
den Datenschutz hervorrufen.“ Zwar 
verstoße die Erfassung von Nummern- 
schildern aus Sicht von Bundesverfas- 
sungs- und Bundesverwaltungsgericht 
nicht grundsätzlich gegen den Da- 
tenschutz. Allerdings ermögliche das 
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PKW-Mautsystem eine lückenlose Er- 
fassung aller VerkehrsteilnehmerInnen 
— und eine Löschung der Daten könnte 
technisch auch einfach unterbleiben. 

Die _Bundesdatenschutzbeauftragte 
Andrea Voßhoff kritisierte die Vorschlä- 
ge nicht grundsätzlich, sondern kündig- 
te an, sie werde „mindestens die hohen 
datenschutzrechtlichen Standards der 
Lkw-Maut einfordern“. Das betreffe 
insbesondere die „strenge Zweckbin- 
dung und die Pflicht zur unverzüglichen 
Löschung“. Grünen-Parteichef Cem Öz- 
demir warnte den CSU-Minister: „Einen 
gläsernen PKW-Fahrer darf es nicht ge- 
ben.“ Geht es nach dem Text des inzwi- 
schen an die Öffentlichkeit gelangten 
PKW-Maut-Gesetzes (InfrAG-E), dann 
wird es diesen gläsernen Autofahrer 
geben: Als „Kontrolldaten“ sollen gem. 
$ 10 Abs. 2 S. 1 InfrAG-E folgen- 
de Daten 13 Monate lang vorgehalten 
werden: „l. Bild des Kraftfahrzeugs, 
2. Name und Anschrift der Person, die 
das Kraftfahrzeug führt, 3. Ort und Zeit 
der Benutzung von Straßen im Sinne 
des $ 1 Absatz I [Autobahnen und Bun- 
desstraßen], 4. Kennzeichen des Kraft- 
fahrzeugs.“ Zweck dieser Vorratsspei- 
cherung ist, einen Nachweis zu haben, 
wenn ein deutscher PKW-Nutzer nach 
einem Jahr behauptet, nie auf einer Au- 
tobahn gefahren zu sein und sich des- 
halb die Maut zurückerstatten lässt ($ 12 
Abs. 3 InfrAG-E). 

SZ-Kommentator Pascal Paukner 
meinte, die CDU/CSU-Stammtisch- 
Parole „freie Fahrt für freie Bürger“ 
werde durch das vorgestellte Mautkon- 
zept der Bundesregierung in das Ge- 
genteil verkehrt: „Ein Bürger, dessen 
Nummernschild sprichwörtlich an jeder 
Straßenecke überwacht wird, kann nicht 
frei sein. Er ist ein unfreier Bürger.“ Und 
der Kommentar von Gregor Honsel von 
Technology Rewiew: „'Surveillance by 
Design’ nennt man so etwas. Da wer- 
den — wie bereits bei der LKW-Maut 
— massenhaft Daten erhoben, die dann 


wunderbar etwa eine Rasterfahndung 
ermöglichen. Natürlich werden die Ver- 
antwortlichen beteuern, die Daten seien 
gesichert, werden nur für die angege- 
benen Zwecke benutzt und schleunigst 
wieder gelöscht. Jaja, ist klar. Hier tut 
sich für mich ein Zeitparadoxon auf: 
Ich kann die Beteuerungen schon nicht 
mehr hören, obwohl sie noch gar nicht 
ausgesprochen wurden. Glaubt irgendje- 
mand ernsthaft, der BND oder die NSA 
kommen an diese Daten nicht ran, wenn 
sie wirklich wollen?“ 

Im LKW-Mautgesetz ist festgelegt, 
dass Toll Collect die erfassten Mautda- 
ten nicht weitergeben darf — auch nicht 
zur Ermittlung von Schwerverbrechern, 
wie es Dobrindts Amtsvorgänger Hans- 
Peter Friedrich vor einiger Zeit ange- 
regt hatte. Das Ministerium spricht 
von einer „außerordentlich restriktiven 
Regelung“. Der Gesetzesentwurf für 
die PKW-Maut sieht vor, dass die an 
den Straßen erfassten Daten nach der 
Mautzahlungsprüfung sofort wieder ge- 
löscht werden, sofern die Maut bezahlt 
ist. Solange das sichergestellt ist, kön- 
nen auch keine Bewegungsprofile von 
AutofahrerInnen entstehen. Nur wenn 
jemand die Maut noch nicht bezahlt 
hat, sollen die Daten vorübergehend 
im Speicher bleiben und ein Bußgeld- 
bescheid verschickt werden. Dass eine 
strenge Zweckbindung der Daten auf 
Widerstand stoßen würde, war abseh- 
bar. Als prominentester der vielen Ver- 
tretern der Sicherheitsbehörden forderte 
der Chef des Bundeskriminalamtes Jörg 
Zierke, die Daten „in besonderen Aus- 
nahmefällen der Schwerstkriminalität“ 
den Ermittlungsbehörden zur Verfügung 
zu stellen. 

Dobrindt wies die Bedenken der Kri- 
tikerInnen zurück: „Wir haben die här- 
testmöglichen Datenschutzregeln in 
unser Gesetz aufgenommen, die wir in 
Deutschland kennen.“ Deshalb müsse 
kein Bürger die Sorge haben, „dass jetzt 
irgendwo Profile gespeichert werden 
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könnten“. Im Hinblick auf eine mögli- 
che Doppelnutzung der Daten ergänzte 
er: „Ich garantiere: Eine Weitergabe an 
andere Behörden findet nicht statt.“ Der 
Plan von Dobrindt sieht vor, dass Auto- 
fahrerInnen für Fahrzeuge aus dem Aus- 
land online oder an Tankstellen die Maut 
für ihr Auto entrichten. Dabei geben sie 
auch das Kennzeichen ihres Autos an. 
Inländische Fahrzeughalter erhalten per 
Post jährlich einen Zahlungsbescheid 
aus Flensburg, der sich nach Hubraum 
und Schadstoffklasse richtet. Zugleich 
senkt die Finanzbehörde die Kfz-Steuer 
um den entsprechenden Betrag, sodass 
deutsche Autofahrer nicht mehr zahlen 
müssen — ein Versprechen der Union 
aus dem Koalitionsvertrag. Vignetten zu 
kleben soll nicht notwendig sein (Stra- 
tenschulte/dpa, Datenschützer warnen 
vor Zweckentfremdung des Maut-Sys- 
tems, www.zeit.de 31.10.2014, Paukner, 
Freie Fahrt für unfreie Bürger, www. 
sueddeutsche.de 31.10.2014; Bergt, Das 
Maut-Gesetz analysiert: 13 Monate Vor- 
ratsspeicherung auf den Straßen, www. 
er-online.de 01.11.2013; Sauerbrey, Da- 
ten können bis zu 13 Monate lang ge- 
speichert werden, www.tagesspiegel.de 
02.11.2014). 


Bund 


BDSG-Änderung zur Or- 
ganisation der BfDI 


Mit einem vom Bundeskabinett am 
27.08.2014 beschlossenen Gesetzent- 
wurf zur Änderung des Bundesdaten- 
schutzgesetzes (BDSG) soll die ver- 
fassungsrechtlich und europarechtlich 
geforderte völlige Unabhängigkeit des 
Amtes der Bundesbeauftragten für den 
Datenschutz und die Informationsfrei- 
heit (BfDI) hergestellt werden (BR-Drs. 
395/14). Bundesinnenminister Thomas 
de Maizicre hatte diese Initiative schon 
bei der Amtseinführung der neuen BfDI 
Andrea Voßhoff im Februar 2014 an- 
gekündigt. Der Europäische Gerichts- 
hof hatte mit seinen Entscheidungen 
zur deutschen Datenschutzaufsicht 
(09.03.2010) und zur österreichischen 
Datenschutzkommission (16.10.2012) 
festgestellt, dass eine Rechts- und eine 
Dienstaufsicht mit der Unabhängigkeit 
der Datenschutzkontrolle nicht verein- 


DANA » Datenschutz Nachrichten 4/2014 


bar sind. Sämtliche Bundesländer haben 
aus dieser Rechtsprechung ihre Konse- 
quenzen gezogen. Der Bund wurde erst 
aktiv, nachdem die Europäische Kom- 
mission mit einem weiteren Verfahren 
gegen Deutschland drohte. 


Ein vorrangiges Anliegen des Entwur- 
fes ist es, der Realität hinterherhinkend, 
klarzustellen, dass auch Frauen BfDI 
sein können. Es wird eine oberste Bun- 
desbehörde geschaffen, die nicht mehr 
in das Bundesinnenministerium (BMI) 
eingebunden ist, das nicht nur für den 
Datenschutz, sondern vor allem für die 
Sicherheitsbehörden zuständig ist. Wäh- 
rend in den Bundesländern regelmäßig 
das Vorschlagsrecht den demokratisch 
legitimierteren und weniger von Ei- 
geninteressen geleiteten Parlamenten 
zugewiesen ist, soll dies im Bund nach 
dem Willen der Regierung bei ihr ver- 
bleiben. Bei Zeugenaussagen der BfDI, 
die den “Kernbereich exekutiver Eigen- 
verantwortung der Bundesregierung” 
möglicherweise betreffen, muss “Ein- 
vernehmen mit der Bundesregierung” 
hergestellt werden. Es ist ungewöhn- 
lich, dass eine kontrollierte Regierung 
zustimmen muss, wenn zwei Kontrol- 
linstanzen, also etwa die BfDI und ein 
Bundestags-Untersuchungsausschuss 
oder ein Gericht, sich austauschen wol- 
len. In dem Gesetzentwurf heißt es: “Zu- 
gleich wird die Datenschutzaufsicht auf 
Bundesebene insgesamt gestärkt.” Tat- 
sächlich wird die Besoldung der BfDI 
angehoben. Vorgesehen sind zudem vier 
neue Stellen, die aber wohl für die neuen 
personal- und haushaltswirtschaftlichen 
Aufgaben der Dienststelle benötigt wer- 
den dürften. 

In der europäischen Datenschutz- 
richtlinie ist verpflichtend vorgesehen, 
der Datenschutzkontrolle “wirksame 
Eingriffsbefugnisse” zu übertragen, die 
beispielhaft genannt werden: “geeig- 
nete Veröffentlichung (von) Stellung- 
nahmen, [...] die Befugnis Sperrung, 
Löschung oder Vernichtung von Daten 
oder [...] das Verbot einer Verarbeitung 
anzuordnen”. In den Entwürfen für eine 
EU-Datenschutz-Grundverordnung sind 
als wirksame Sanktionsmöglichkeiten 
Bußgelder in Höhe von zwei bis fünf 
Prozent des Unternehmensumsatzes 
geplant. Dem gegenüber soll der BfDI 
lediglich die Möglichkeit einer “Bean- 


standung” zur Herbeiführung rechts- 
konformer Zustände bleiben, selbst bei 
den Post- und Telekommunikations- 
unternehmen. Das Äußerungsrecht der 
BfDI, bisher eine wirksame Waffe der 
Datenschutzbeauftragten, wird im Wi- 
derspruch zum Geist der europäischen 
Regelung nicht gestärkt. 

Der vorherige BfDI Peter Schaar be- 
zeichnete den Gesetzentwurf als „völ- 
lig unterambitioniert“ und äußerte die 
Hoffnung, dass substanziell nachgebes- 
sert wird: „Allerdings bin ich skeptisch, 
ob dies angesichts der überwältigen 
Mehrheit der Regierungsparteien ge- 
schehen wird“. Druck von der Amtsin- 
haberin ist nicht zu erwarten, die keine 
inhaltliche Kritik an den Vorschlägen 
äußerte, sondern nur meinte: „Ich wür- 
de mich freuen, wenn der Gesetzgeber 
meine Vorschläge für eine angemessene 
haushaltsmäßige Ausstattung meiner 
Dienststelle in einem breiten Konsens 
konstruktiv aufgreift.‘“ Man könnte den 
Eindruck haben, dass sich die BfDI ihre 
Willfährigkeit durch Stellen bezahlen 
lassen möchte. Eine Entschließung der 
88. Konferenz der Datenschutzbeauf- 
tragten des Bundes und der Länder 
vom 08.10.2014 kritisiert zusätzlich, 
wenn auch verhalten, die Regelungs- 
vorschläge und appelliert an den Bun- 
desgesetzgeber, der BfDI effektive 
Sanktionsmittel an die Hand zu geben 
(Schaar, Gesetzentwurf zur Änderung 
des Bundesdatenschutzgesetzes „völlig 
unzureichend“, www.netzpolitik.org 
27.08.2014; Voßhoff, PM 16.10.2014, 
Nur eine funktionsfähige Datenschutz- 
behörde ist auch unabhängig). 


Bund 


BND-Datenschutzbeauf- 
tragte berichtet im NSA- 
Ausschuss 


Vor dem NSA-Untersuchungsaus- 
schuss berichtet die Datenschutzbeauf- 
tragte des Bundesnachrichtendienstes 
(BND), Frau F, am 09.10.2014 von 
ihren Erfahrungen im deutschen Aus- 
landsgeheimdienst. Die Volljuristin ist 
seit neun Jahren für den BND tätig, seit 
zweieinhalb Jahren ist sie dort Daten- 
schutzbeauftragte und damit direkt dem 
Präsidenten Gerhard Schindler in Ber- 
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lin unterstellt. Persönliches, auch ihren 
vollen Namen, durften die Abgeordne- 
ten des NSA-Ausschusses gemäß den 
Vorgaben ihres Arbeitgebers nicht von 
Frau F. erfahren. Die Aussage der Ge- 
heimdienstmitarbeiterin vor dem parla- 
mentarischen Untersuchungsgremium 
ist aber interessant, weil sie offenbart, 
wie wenig ernst der BND viele Jahre 
lang das Thema Datenschutz - bis heute 
— nahm bzw. nimmt. 

Als Frau F. 2012 Datenschutzbeauf- 
tragte des BND wurde, war die Abtei- 
lung bereits lange führungslos gewesen. 
Sie selbst sei „technisch nicht vorgebil- 
det“, habe nur juristisches Wissen mit- 
gebracht. Im Umgang mit den vielen 
Daten, die der Auslandsgeheimdienst 
so sammle, müsse sie sich auf die tech- 
nische Expertise der KollegInnen im 
Dienst verlassen. In der Regel lasse sie 
sich die Datenbank vorführen und stel- 
le Fragen dazu. Ob hier eine wirkliche 
Kontrolle stattfinden kann, sei dahin ge- 
stellt. Für viele brisante Themen sei sie 
als Datenschutzbeauftragte überhaupt 
nicht zuständig. So kümmert sich ein 
eigener Hausjurist um alle Daten, die 
die nach Art. 10 Grundgesetz (GG) ge- 
schützte Telekommunikation zwischen 
Deutschen betreffen und um die recht- 
lich heiklen Fragen rund um deren Aus- 
wertung, Speicherung und Weitergabe 
nach dem G10-Gesetz. 

Zu vielen Geheimdienstaktivitäten, 
die den NSA-Ausschuss interessieren, 
konnte Frau F. nichts sagen: Von den 
angezapften Glasfaserkabeln hat sie an- 
geblich nur in der Zeitung gelesen, über 
den Umgang mit Kommunikationsdaten 
am Knotenpunkt Frankfurt und den Fall 
Eikonal konnte sie auch nichts berich- 
ten. Letzterer habe sich ja wohl vor ihrer 
Zeit zugetragen. „Bestimmte Bereiche 
der Informationserfassung werden Ih- 
nen vorenthalten“, fasst die Obfrau der 
Linken, Martina Renner, die Situation 
zusammen. Der für die brisanten Dinge 
zuständige G10-Jurist im BND ist nicht 
weisungsunabhängig wie die Daten- 
schutzbeauftragte. Der Mann wurde im 
Ausschuss nach Frau F. in nicht öffent- 
licher Sitzung angehört. 

Die Datenschutzbeauftragte berichte- 
te freimütig über einen Streit mit ihrem 
Chef, BND-Präsident Schindler, zum 
BND-Standort Bad Aibling, an dem 
die deutschen Geheimdienstler Satelli- 
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tendaten aus dem Ausland erfassen und 
auswerten, etwa Telefongespräche in 
Afghanistan und Pakistan. Auf dem Ge- 
lände in Bad Aibling sind auch Mitarbei- 
ter des amerikanischen Geheimdienstes 
NSA stationiert. Schindler wähnt die Sa- 
tellitendaten des BND nach Schilderung 
von F. im weitgehend rechtsfreien Raum 
— denn sie seien ja im Weltall erhoben, 
in dem keine deutschen Gesetze griffen, 
so dass auch $ 19 BVerfSchG nicht an- 
wendbar sei. Dem setzte F. entgegen: 
„Meiner Meinung nach werden die Da- 
ten in Bad-Aibling erfasst und damit im 
Geltungsbereich des BND-Gesetzes.“ 
Daher müssten ihrer Meinung nach auch 
für afghanische Telefongespräche die 
strengeren deutschen Daten- und Kom- 
munikationsschutzbestimmungen gel- 
ten. Das bedeute, dass die geheimdienst- 
lich ermittelten Daten von AusländerlIn- 
nen nicht so einfach an „ausländische 
Stellen“ weitergegeben werden könnten. 
Den von der Überwachung Betroffenen 
müsse der BND die Übermittlung mit- 
teilen, „sobald eine Gefährdung seiner 
Aufgabenerfüllung durch die Mitteilung 
nicht mehr zu besorgen ist“ Außerdem 
wies Frau F. darauf hin: „Laut BND-Ge- 
setz hat eine Übermittlung zu unterblei- 
ben, wenn auswärtige Belange der BRD 
oder schutzwürdige Interessen betroffen 
sind.“ 

Der SPD-Obmann im Ausschuss, 
Christian Flisek, fasste die Aussage von 
Frau F. dahingehend zusammen, dass 
die BND-Leitung sich die Weitergabe 
der Ausland-Ausland-Kommunikation 
an andere Dienste offenbar so einfach 
wie möglich machen wolle. Schon zu 
Beginn des NSA-Ausschusses hatten 
Verfassungsrechtler Bedenken angemel- 
det, was die rechtliche Grundlage für 
die Behandlung der abgefangenen Sa- 
tellitendaten in Bad Aibling betraf. Die 
Datenschutzbeauftragte berichtete dem 
Ausschuss von einer „intensiven recht- 
lichen Diskussion“ auf Leitungsebene 
des BND, bei der sie „leider überstimmt 
worden“ sei. Sie habe eben nur eine 
„Beratungsfunktion“ inne. F. geht aber 
davon aus, dass der BND sich auch ohne 
eine gesetzliche Einschränkung beim 
Umgang mit Daten, z. B. aus afghani- 
schen Telefongesprächen, an „bestimm- 
te Standards“ halte. Diese seien „Schutz 
der Menschenwürde, Willkürverbot und 
Verhältnismäßigkeit“. 


Frau F. betreut nach eigener Angabe 
beim BND rund 25 Datenbanken mit 
Geheimdienstinformationen. Ihre Auf- 
gabe sei es, sicherzustellen, dass sie den 
Datenschutzgesetzen entsprechen. Es 
werde derzeit versucht, kleinere Daten- 
banken zu größeren zusammenzufügen. 
Zudem benutzt der deutsche Geheim- 
dienst rund 20 Tools der NSA, darunter 
das Programm XKeyscore. Details zu 
den Funktionen der Tools wollte F. je- 
doch nur in nichtöffentlicher Sitzung er- 
läutern. Auch zu den BND-Programmen 
gab F. wenig Details preis. Sie räumte 
allerdings ein, dass das Programm Veras 
die Metadaten von Verdächtigen bis in 
die vierte und fünfte Ebene abspeichere. 

Vor allem in der BND-Abteilung 
Technische Aufklärung seien ihr Män- 
gel aufgefallen. So seien bei ihrem 
Amtsantritt zwei Datenbanken mit Per- 
sonendaten nicht, wie rechtlich vorge- 
sehen, vom damaligen Bundesdaten- 
schutzbeauftragten (BfDI) geprüft und 
dann vom Kanzleramt genehmigt wor- 
den — und das obwohl sie seit Jahren in 
Betrieb seien. Eine davon sei die seit 
2001 genutzte Datenbank INBE, die In- 
formationen über deutsche Staatsbürger 
enthalte, ohne dass ein vorgeschriebenes 
Dateianordnungsverfahren durchgeführt 
worden sei: „Man speicherte so lange, 
bis der Speicher volllief.“ Glücklicher- 
weise habe dies meistens nur zwölf Mo- 
nate lang funktioniert; der Gesetzgeber 
erlaube bis zu 24 Monate Speicherfrist. 
Bei der Datenprotokollierung habe es 
Mängel gegeben. Frau F. erklärte die 
Versäumnisse mit einer möglichen Un- 
kenntnis der Mitarbeitenden, die sie mit 
einem umfangreichen Schulungspro- 
gramm beheben will. 

Diskussionen führe die Datenschutz- 
beauftragte noch mit der Abteilung 
Technische Aufklärung und der neuen 
BfDI über die 2010 eingerichtete Da- 
tenbank VERAS, in der zum Großteil 
Verbindungen zwischen ausländischen 
Personen erfasst würden: „Mit wem 
hat Terrorist X telefoniert in den letzten 
zwei Wochen?“ Auch hier fehlt es an der 
nach $ 14 BVerfSchG geforderten Da- 
teianordnung, die der Zustimmung des 
Bundeskanzleramts bedarf. Frau F. be- 
fürchtet, dass hier eine anlasslose Vor- 
ratsdatenspeicherung durchgeführt wer- 
de; das sei nicht vereinbar mit deutschen 
Gesetzen. Die Mängel seien ihr im Jahr 
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2013 erst anlässlich interner Mitarbei- 
terschulungen aufgefallen. Damit sei die 
Nutzung der Datenbanken formell, nicht 
aber materiell rechtswidrig (Caspari, 
Der BND pfeift auf seine Datenschutz- 
beauftragte, www.zeit.de 09.10.2014; 
BND-Datenschutzbeauftragte: BND 
versäumte Datenschutzprüfung bei Da- 
tenbanken, www.golem.de 09.10.2014). 


Bund 


Deutsche BKK gibt Daten 
an Schufa 


Die Deutsche Betriebskrankenkasse 
(BKK) hat sich bei der Schufa nach der 
finanziellen Lage Tausender Schuldner 
erkundigt. Seit März 2011 haben Mit- 
arbeitende der Abteilung Vollstreckung/ 
Insolvenz der Deutschen BKK in bis 
zu 11.000 Fällen eine Auskunft bei der 
Schufa eingeholt. Die Deutsche BKK, 
eine gesetzliche Kasse mit 800.000 Ver- 
sicherten, konsultiert die Schufa etwa, 
wenn freiwillig Versicherte, z. B. Selbst- 
ständige oder Arbeitgeber, ihre Beiträge 
nicht gezahlt haben. Das Verfahren tra- 
ge, so eine Sprecherin, dazu bei, „wirt- 
schaftlich unnötige Vollstreckungshand- 
lungen zu vermeiden.“ Der damalige 
Bundesdatenschutzbeauftragte Peter 
Schaar hatte schon 2009 in einem ande- 
ren Fall Zweifel an Ablauf und Notwen- 
digkeit eines solchen Austausches an- 
gemeldet, da die Schufa-Anfrage nicht 
ohne die Übermittlung von Sozialdaten 
möglich ist. Eine derartige Übermittlung 
von Sozialdaten, wozu auch Namen oder 
Geburtsdaten von Versicherten gehören, 
ist Krankenkassen nach dem Sozialge- 
setzbuch (SGB) verboten. Die Deutsche 
BKK bestreitet, dies im Rahmen des 
Vertrags mit der Schufa zu tun und wird 
von dieser unterstützt: „Die Schufa hilft 
Forderungen von Personen einzubrin- 
gen, die trotz mehrfacher Aufforderung 
fällige Versicherungsbeiträge schuldig 
geblieben sind. Die Datenübermittlung 
ist gesetzlich zulässig und liegt auch im 
Interesse der Gesellschaft und der Ver- 
sicherten.“ Man zähle zudem nur eini- 
ge wenige gesetzliche Kassen zu seinen 
Kunden. Das Bundesversicherungsamt 
will als Aufsichtsbehörde den Vorgang 
erneut prüfen (Hunger auf Daten, Der 
Spiegel 36/2014, 60 = Deutsche BKK 
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fragt Daten von Schuldnern bei der 
Schufa ab, www.spiegel.de 31.08.2014). 


Bund 


„Pay as you drive“ bei 
Signal Iduna 


Die Signal Iduna stellte ein Kfz-Ver- 
sicherungspaket für junge Erwachse- 
ne vor, bei dem die Höhe der Beiträge 
vom Fahrstil abhängig gemacht wird. 
Ein Dongle, der an die Diagnoseschnitt- 
stelle (OBD2) des Autos gesteckt wird, 
meldet Fahrzeugdaten per Bluetooth an 
eine Smartphone-App, die den Fahrstil 
analysiert und dabei Beschleunigung, 
Kurvengeschwindigkeit und Bremsver- 
halten berücksichtigt. Daraus wird ein 
individueller Score berechnet, an dem 
sich die Beitragshöhe bemisst. Anders 
als beim umstrittenen Telematik-Ange- 
bot der Sparkassen-Direktversicherung 
werden keine GPS-Daten erfasst. 

Die Versicherung bietet den sogenann- 
ten AppDrive-Tarif über ihre Marke si- 
jox an. Er richtet sich an Fahrer unter 30 
Jahren und gilt nur für das Paket „Meine 
Mobilität“, das außer der Kfz- auch eine 
Unfall- und Verkehrsrechtsschutz-Versi- 
cherung enthält. AppDrive startet mit ei- 
ner Beitragsermäßigung von 15%; durch 
umsichtiges Fahren soll eine weitere Sen- 
kung um 25% möglich sein. Nachforde- 
rungen, wenn sich der Fahrstil ändert, 
schließt die Versicherung aus. 

Die FahrerIn kann ihren AppDrive- 
Score am Handy auslesen und erhält 
Tipps, wie sich dieser verbessern lässt. 
Die App gibt es für Android und iOS. Sie 
zeigt auch an, wie viel man aktuell spart. 
Als OBD2-Dongle nutzt Signal Iduna 
den TomTom Link 100. Er soll Versi- 
cherungen, Fahrzeugherstellern, Pan- 
nendiensten und Leasingunternehmen 
den einfachen Zugriff auf Daten zum 
Fahrverhalten und zur Fahrzeugnutzung 
ermöglichen. TomTom betont, dass Be- 
denken hinsichtlich des Datenschutzes 
überflüssig seien, da keine GPS-Daten 
erfasst werden. Allerdings speichert der 
Link 100 Daten zwischen, die z. B. auch 
nach einem Unfall ausgewertet werden 
könnten, um die Schuldfrage zu klären 
(Signal Iduna analysiert Fahrstil für 
individuelle Kfz-Versicherung, www. 
heise.de 30.10.2014). 


Bund 


Google bietet Arztsprech- 
stunde per Videochat 


Der Internetkonzern Google testet ei- 
nen Dienst, bei dem Nutzende per Inter- 
net direkt mit ÄrztInnen reden können. 
Der Digitalkonzern will sie so davon 
abhalten, sich selbst zu diagnostizieren. 
Wenn eine NutzerIn in die Suchmas- 
ke von Reddit eingibt, dass sie Knie- 
schmerzen hat, liefert Google ihr nicht 
nur Ergebnisse, sondern auch eine klei- 
ne Info-Box mit dem Zusatz: „Sprechen 
Sie jetzt mit einem Arzt.“ Dies ist nicht 
als Aufforderung, sondern als Angebot 
gemeint. Ein Arzt könne per Knopf- 
druck für einen Videochat dazugeschal- 
tet werden. Geplant ist ein Service im 
Stil von Google Helpouts, womit Goog- 
le seit einem Jahr Tipps von ExpertIn- 
nen per Videochat anbietet. Helpouts hat 
momentan acht Kategorien. Wer sich in 
Sachen „gesundes Essen“ beraten lassen 
will, muss aktuell 15 Dollar pro Stunde 
zahlen. Wie der Ärzte-Dienst konkret 
funktionieren wird, ist noch unklar. Dem 
Screenshot der Reddit-Nutzerln zufolge 
ist die Beratung während der Testphase 
kostenlos. 

Google versteht sein Angebot als 
Maßnahme gegen Cyberchondrie, die 
Online-Variante der Hypochondrie, bei 
der Menschen im Internet ihre Sympto- 
me eingeben, um herauszufinden, wor- 
an sie erkrankt sein könnten — und sich 
selbst diagnostizieren. Laut einer Studie 
kann diese Suche bei einigen Menschen 
dazu führen, dass sich die Angstzu- 
stände verschlimmern. Ob ein solcher 
Dienst in Deutschland zulässig wäre, 
ist fraglich: Laut der Berufsordnung ist 
es Ärzten untersagt, eine Behandlung 
„ausschließlich über Print- und Kom- 
munikationsmedien“ durchzuführen. 
Heinrich Körtke, Leiter des westdeut- 
schen Zentrums für angewandte Tele- 
medizin: „Mal angenommen, Sie klagen 
über Magenschmerzen, und Dr. Google 
sagt, alles sei in Ordnung. Aber 24 spä- 
ter fallen Sie tot um, weil die Magen- 
Darm-Blutung nicht erkannt wurde — da 
kann man Schlimmmes anrichten: Dr. 
Google beruhigt den Patienten, aber er 
heilt ihn nicht. Wir brauchen Ärzte und 
keine Firma, die ausschließlich das Geld 
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sieht“ (Google schickt den Arzt, www. 
sueddeutsche.de 13.10.2014; Kann Goog- 
le uns gesund machen, Herr Körtke? Der 
Spiegel 43/2014). 


Baden-Württemberg 


Jahrzehntelange Verfas- 
sungsschutzbeobachtung 
von Anwalt 


Rechtsanwalt Michael Moos ist seit 
über 40 Jahren eine politische Institu- 
tion in Freiburg. Auch schon seit vie- 
len Jahren ist er für die Linke Liste im 
Stadtrat der Universitätsstadt. Im Jahr 
2009 teilte der Verfassungsschutzbe- 
richt, also die jährliche Aufzählung der 
vom Landesamt für Verfassungsschutz 
(LfV) als verfassungsfeindlich einge- 
stuften politischen Bestrebungen, mit, 
dass die Linke Liste unter Beobachtung 
stehe. Dass der 67jährige Moos als 
überzeugter Linker politische Gegner 
hat, ist unvermeidlich; keiner von die- 
sen würde aber wohl dessen persönli- 
che und moralische Integrität in Frage 
stellen. Er engagierte sich in der 68er 
Zeit beim Kommunistischen Bund 
Westdeutschands. In den 70er Jahren 
vertrat er als Anwalt Klienten, die der 
RAF-Nähe verdächtigt wurden. Bis 
heute blieb er politisch aktiv. 

Nach der Veröffentlichung im Verfas- 
sungsschutzbericht forderte der Anwalt 
vom LfV Auskunft zu seiner Person. 
Erst mit Hilfe des Verwaltungsgerichts 
(VG) Stuttgart konnte dies verbindlich 
zu einer Auskunft verpflichtet werden. 
Doch statt der Akten erhielt Moos im 
Sommer 2013 von Innenministerium 
in Stuttgart einen Sperrvermerk mit- 
geteilt, ohne dass dieses offensichtlich 
die für sperrwürdig erklärte Akte voll- 
ständig vorliegen hatte. Wegen dieses 
Formfehlers musste erneut das VG 
Stuttgart angerufen werden. Das ver- 
fügte, dass der Sperrvermerk erneut 
geprüft werden muss. Nach weiteren 
vielen Monaten erhielten das Gericht 
und hierüber auch Moos ein ca. 700 
Seiten starkes Paket Papier, dessen 
Texte zum größten Teil geschwärzt und 
damit nicht lesbar sind. Mitgeliefert 
wurde eine neue 106 Seiten lange Be- 
gründung, weshalb die Schwärzungen 
zur Vermeidung von „Nachteilen für 
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das Wohl des Landes“ nötig seien, dass 
„ihrem Wesen nach geheime Vorgänge“ 
geheim gehalten werden müssten und 
„namentliche Hinweise auf Bearbeiter“ 
unsichtbar zu machen seien. 

Erkennbar blieb, dass Moos zumin- 
dest seit Ende der 70er Jahre über- 
wacht wurde, wahrscheinlich jedoch 
schon länger. Einige Male tauchen im 
Meer der Druckerschwärze die Wörter 
„linksextremistischer Terrorismus“ auf. 
Andere ungeschwärzte Sätze klingen 
banal bis komisch. So vermeldete der 
Mitarbeiter des Verfassungsschutzes 
über die „Knete-Fete“ am 21.05.1982: 
„Getragen wurde der Abend von der 
Hardrockband "Die Bremser‘“. Wes- 
halb die Beobachtung erfolgte, ist we- 
gen Schwärzungen nicht erkennbar. 
Zum Schluss heißt es dann: „Das Fest 
verlief ohne nennenswerte Ereignisse“. 
Moos kann sich heute an diese Fete 
nicht mehr erinnern. Ein anderer Aus- 
zug: „16.08 Uhr: Moos kommt mit dem 
Fahrrad aus Richtung Rosastraße zum 
Objekt. Er stellt das Rad ab und betritt 
die Kanzlei. ... 17.57 Uhr: Moos ver- 
lässt die Kanzlei und fährt weg.“ Das 
L£fV erklärt: „Gerade Verfassungsfein- 
de arbeiten konspirativ und versuchen, 
ihre wahren Ziele zu verschleiern. In 
solchen Fällen darf der Verfassungs- 
schutz unter engen gesetzlichen Vor- 
aussetzungen auch nachrichtendienst- 
liche Mittel einsetzen. Dazu gehören 
insbesondere das Anwerben und Füh- 
ren von Vertrauensleuten und die Ob- 
servation verdächtiger Personen. Aus 
den ungeschwärzten Teilen der Akte 
geht hervor, dass ein der RAF-Szene 
zugerechneter Gefangener in Suttgart- 
Stammheim ebenso überwacht wurde 
wie sein Verteidiger Michael Moos. 
Ob die Verteidigergespräche zwischen 
diesen beiden „Verfassungsfeinden“ 
belauscht wurden, ergibt sich aus den 
lesbaren Aktenteilen nicht. Der An- 
walt von Moos, Udo Kauß, will am 
Ende erreichen, dass die Überwachung 
rechtswidrig war. Um hier hinzukom- 
men, soll nun ein In-Camera-Verfahren 
angestrengt werden, bei dem sich Rich- 
ter des Verwaltungsgerichtshofes die 
ungeschwärzte Akte betrachten, um 
dann zu entscheiden, ob die Vergan- 
genheit von Moos geschwärzt bleiben 
muss oder nicht (Kizler, Der Sonntag 
08.06.2014). 


Hamburg 


HmbBfDlI erlässt Anord- 
nung gegen Google 


Der Hamburgische Beauftrage für 
Datenschutz und Informationsfreiheit 
(HmbBfDI) hat Ende September 2014 
gegenüber der Google Inc. zur Beseiti- 
gung von Verstößen gegen das Teleme- 
diengesetz und das Bundesdatenschutz- 
gesetz eine Verwaltungsanordnung er- 
lassen und dabei das US-Unternehmen 
verpflichtet, Daten, die bei Nutzung 
unterschiedlicher Google-Dienste an- 
fallen, nur unter Beachtung der ge- 
setzlichen Vorgaben zu erheben und 
zu kombinieren. Nach Auffassung der 
für Google in Deutschland zuständigen 
Datenschutzbehörde greift die bisherige 
Praxis der Erstellung von Nutzerprofilen 
weit über das zulässige Maß hinaus in 
die Privatsphäre der Google-Nutzenden 
ein. Google wird verpflichtet, techni- 
sche und organisatorische Maßnahmen 
zu ergreifen, die sicherstellen, dass de- 
ren Nutzende künftig selbst über die 
Verwendung der eigenen Daten zur Pro- 
filerstellung entscheiden können. 

Die Google Inc. erhält umfängliche In- 
formationen über die Nutzungsgewohn- 
heiten ihrer KundInnen. Viele setzen die 
unterschiedlichen vom Unternehmen 
angebotenen Dienste in ihrem täglichen 
Leben regelmäßig und umfassend ein. 
Dies betrifft sowohl die bei Google re- 
gistrierten Personen, z. B. Gmail-User 
und die meisten Besitzenden eines An- 
droid-Smartphones, als auch Personen, 
die Google-Dienste, z. B. die Suchma- 
schine, verwenden. Die Inhalts- und 
Nutzungsdaten, die dabei anfallen, ver- 
raten viel über die einzelne Person und 
deren Interessen, Gewohnheiten und Le- 
bensweise. Es können damit detaillierte 
Bewegungsmuster durch Standortdaten 
erstellt, Rückschlüsse auf spezifische 
Interessen und Vorlieben durch Auswer- 
tung der Nutzung der Google-Suchma- 
schine gezogen, der soziale und der fi- 
nanzielle Status, der Aufenthaltsort und 
viele weitere Gewohnheiten ermittelt 
und etwa Freundschaftsbeziehungen, 
sexuelle Orientierung sowie der Bezie- 
hungsstatus abgeleitet werden. 

In den Privatsphäre-Bestimmungen 
schließt Google die Verknüpfung be- 
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sonders sensibler personenbezogener 
Daten lediglich zu Werbezwecken aus. 
Nichtsdestotrotz kann die Verknüp- 
fung all dieser Informationen aus den 
verschiedenen Einzeldiensten aussage- 
kräftige und nahezu umfassende Per- 
sönlichkeitsbilder entstehen lassen. Die 
Bildung solcher diensteübergreifender 
Profile behält sich Google durch die 
seit März 2012 geltenden Privatsphäre- 
Bestimmungen ausdrücklich vor. Da für 
eine derartig massive Profilbildung un- 
ter Zusammenführung aller Daten we- 
der im nationalen noch im europäischen 
Recht eine Rechtsgrundlage existiert, ist 
dies nur dann zulässig, wenn der Nutzer 
ausdrücklich und informiert in eine der- 
artige Verarbeitung seiner Daten einge- 
willigt hat oder — soweit dies gesetzlich 
vorgesehen ist — er dagegen widerspre- 
chen kann. 

Der HmbBfDI Johannes Caspar erläu- 
tert: „Zwar konnten wir in zahlreichen 
Gesprächen mit Google Verbesserun- 
gen insbesondere bei der Information 
der Nutzer erreichen. Bei der wesentli- 
chen Frage der Zusammenführung der 
Nutzerdaten war Google jedoch nicht 
bereit, die rechtlich erforderlichen Maß- 
nahmen einzuhalten und substantielle 
Verbesserungen zugunsten der Nutzer- 
kontrolle umzusetzen. Insoweit wird 
Google nun per Anordnung dazu ver- 
pflichtet. Unsere Anforderungen zielen 
auf einen fairen, gesetzlich vorgesehe- 
nen Ausgleich zwischen den Interessen 
des Unternehmens und denen seiner 
Nutzer. Der Ball liegt nun im Spielfeld 
von Google. Das Unternehmen muss 
die Daten von Millionen von Nutzern so 
behandeln, dass deren Recht auf infor- 
mationelle Selbstbestimmung künftig 
bei der Nutzung der unterschiedlichen 
Dienste des Unternehmens hinreichend 
gewahrt wird.“ 

Der HmbBfDI ist der Vertreter 
Deutschlands in einer europäischen 
Task Force von Datensschutzbehörden, 
welche die Privatsphäre-Bestimmun- 
gen Googles prüft und bewertet. Dabei 
wurden die inhaltlichen Kriterien zwi- 
schen den darin vertretenen sechs EU- 
Mitgliedstaaten intensiv diskutiert, um 
eine möglichst einheitliche europäische 
Sichtweise zu gewährleisten. Die kon- 
krete Durchsetzung der datenschutz- 
rechtlichen Anforderungen erfolgt je- 
doch unabhängig und allein auf Grund- 
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lage des jeweiligen nationalen Rechts. 
Während zum Teil andere Länder auf- 
grund ihrer nationalen Bestimmungen 
Verstöße mit Bußgeldern sanktionierten 
(Frankreich - DANA 1/2014, 33, Nie- 
derlande -— DANA 1/2014, 34), wurde 
nach deutschem Datenschutzrecht nun 
eine Verwaltungsanordnung erlassen 
(PM HmbBfDI 30.09.2014, Wesentliche 
Änderungen bei der Datenverarbeitung 
von Google notwendig — Datenschutz- 
aufsicht erlässt Anordnung). 


Hessen 


Schwarz-Grün will 
Verfassungsschutz neu 
ordnen 


Als Konsequenz aus der NSU-Mord- 
serie soll das Landesamt für Verfas- 
sungsschutz (LfV) in Hessen reformiert 
werden. Die Regierungsfraktionen CDU 
und Grüne sowie Innenminister Peter 
Beuth (CDU) stellten in Wiesbaden 
dazu am 09.10.2014 einen Gesetzesvor- 
schlag bzw. ein Eckpunktepapier vor. 
Danach soll der LfV zu einer modernen 
und möglichst transparenten Behörde 
umgebaut werden, die nicht länger ab- 
geschottet und geheimniskrämerisch 
wirkt. Als Vorbild wird das Bundesamt 
für Verfassungsschutz (BfV) genannt. 
In dem Eckpunktepapier heißt es, das 
LfV „tauscht sich mit Wissenschaft 
und Gesellschaft aus. Dazu gehört auch 
der öffentliche Diskurs.“ Das LfV soll 
verpflichtet werden, sich mit anderen 
Landesämtern und dem BfV im Kampf 
gegen gewalttätigen Extremismus aus- 
zutauschen. Defizite in diesem Bereich 
trugen nach Ansicht von Sicherheitsex- 
perten dazu bei, dass der NSU jahrelang 
unentdeckt in ganz Deutschland morden 
konnte. Dem LfV soll es erschwert wer- 
den, Informationen über gefährliche ex- 
tremistische Bestrebungen vor anderen 
staatlichen Behörden geheim zu halten. 
Allenfalls bei Gefahr für Leib und Le- 
ben von Personen, etwa Informanten 
des LfV in der Szene, sog. V-Leuten, 
sind Übermittlungsverbote an andere 
Sicherheitsbehörden denkbar. Diese sol- 
len aber schriftlich begründet und dem 
Landesinnenminister sowie dem Par- 
lamentarischen Kontrollgremium des 
Landtags vorgelegt werden, das das LfV 


überwacht. Erstmals soll in Hessen klar 
geregelt werden, dass V-Leute keine 
schweren Straftaten begehen dürfen. Als 
Informant sollen sie aber Ordnungswid- 
rigkeiten und kleinere Straftaten bege- 
hen dürfen, die in der Szene üblich sind. 
Auch die parlamentarische Aufsicht 
über das LfV soll neu geregelt werden. 
Vorgesehen ist eine Stärkung des Par- 
lamentarischen Kontrollgremiums. Das 
Gremium soll in den meisten Fällen 
zur Verschwiegenheit verpflichtet sein, 
mindestens zweimal im Lauf der fünf- 
jährigen Legislaturperiode den Landtag 
über die Kontrollarbeit informieren und 
darstellen, ob die Landesregierung ihren 
Verpflichtungen nachkommt, das Gre- 
mium über besondere Vorkommnisse zu 
informieren. 
Als die wesentlichen Eckpunkte der 
Vorschläge werden genannt: 
- die gesetzliche Formulierung eines 
Leitbilds für den Verfassungsschutz, 
- die ausdrückliche Normierung des 
Präventionsauftrags des LfV, 
- das Unterstreichen der Zusammenar- 
beit des LfV mit anderen Behörden, 
- eine klare Gliederung der Befugnis- 
se des LfV, 
- die ausdrückliche Auflistung der 
möglichen nachrichtendienstlichen 
Mittel, 
die gesetzliche Normierung des V- 
Leute-Einsatzes, 
die klare und vereinfachte Struktu- 
rierung der Vorschriften zur Spei- 
cherung und Löschung von Erkennt- 
nissen des Verfassungsschutzes und 
die Vereinfachung der Vorschriften 
zur Informationsübermittlung an an- 
dere Behörden. 
Die Vorschläge sollen zunächst nicht 
in den Landtag eingebracht, sondern 
von einer Expertenkommission unter 
der Leitung des ehemaligen Richters 
des Bundesverfassungsgerichts, Prof. 
Dr. Hans-Joachim Jentsch, begutachtet 
werden. Diese von Schwarz-Grün be- 
rufene Kommission arbeitet parallel an 
Vorschlägen, wie die Zusammenarbeit 
der Sicherheitsbehörden in Hessen ver- 
bessert werden kann. Man wolle den 
Ergebnissen des Gremiums, so Vertreter 
von CDU und Grünen, nicht vorgrei- 
fen. Der NSU-Untersuchungsausschuss 
im Bundestag hat empfohlen, dass der 
Verfassungsschutz seine Informanten, 
die V-Leute, stärker kontrolliert. Die 
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Sicherheitsbehörden sollen sich mehr 
austauschen (Höll SZ 11./12.10.2014, 
7, Hessisches Ministerium des Innern, 
PM v. 10.10.2014, Innenminister stellt 
Gesetzentwürfe zur Neuausrichtung 
des Verfassungsschutzes vor — Exper- 
tenkommission wird sich damit kritisch 
auseinandersetzen). 


Mecklenburg-Vorpommern 


Land verzichtet auf 
soziale Medien 


Die Regierung des Bundeslandes 
Mecklenburg-Vorpommern verzichtet 
künftig auf Auftritte in sozialen Medi- 
en wie Facebook und Twitter. Sie sieht 
in diesen Plattformen keinen größeren 
Nutzen, der den Einsatz des dafür erfor- 
derlichen Personals rechtfertigen wür- 
de. Regierungssprecher Andreas Timm: 
„Wir informieren über Pressemitteilun- 
gen und auf unseren Homepages und se- 
hen in den sozialen Netzwerken keinen 
größeren zusätzlichen Nutzen für uns.“ 
Der Landesbeauftragte für Datenschutz 
und Informationsfreiheit Reinhard Dan- 
kert begrüßte diese Trendwende: „Nicht 
nur die Landesregierung sondern alle öf- 
fentlichen Stellen sollten sich ihrer Vor- 
bildwirkung bewusst sein und nicht dazu 
verleiten, datenschutzrechtlich fragwür- 
dige Angebote zu nutzen.“ Bereits im 
Oktober 2011 hatte Dankert alle öffent- 
lichen Stellen des Landes aufgefordert, 
auf die Nutzung sozialer Netzwerke zu 
verzichten, weil diese Plattformen nicht 
mit deutschen und europäischen Da- 
tenschutzstandards in Einklang stehen. 
Über soziale Netze wird unter anderem 
im Zusammenhang mit dort platzierten 
öffentlichen Fahndungen der Polizei 
diskutiert. 

Medienwissenschaftler der Techni- 
schen Universität Berlin haben hierzu ein 
Gutachten erstellt, das die Risiken dieser 
Fahndungsmethode beleuchtet, das am 
21.10.2014 ausführlich vorgestellt wur- 
de. Dankert: „Ich begrüße, dass sich auch 
die Wissenschaft dieses Themas annimmt 
und die Risiken derNutzung sozialer 
Netze verdeutlicht“ (LfDI Mecklenburg- 
Vorpommern, PE 14.10.2014, Landesre- 
gierung verzichtet auf Nutzung sozialer 
Medien; Datenschützer begeistert, www. 
welt.de 14.10.2014). 
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Niedersachen 


Polizei veröffentlicht 
Videoüberwachungs- 
Kataster 


Die sechs Polizeidirektionen in Nie- 
dersachsen (Braunschweig, Göttingen, 
Hannover, Lüneburg, Oldenburg, Osna- 
brück) betreiben in ihren jeweiligen Zu- 
ständigkeiten Videoüberwachungsanlagen 
mit der Zielrichtung der Gefahrenabwehr. 
Um insofern mehr Transparenz und Ver- 
trauen zu schaffen, um den Koalitions- 
vertrag umzusetzen, aber auch mit einer 
präventiven Zielrichtung hat die Polizei 
in Niedersachsen sämtliche 114 Stand- 
orte der polizeilichen Videoanlagen im 
öffentlichen Raum im Internet veröffent- 
licht. Die gesetzliche Grundlage für die 
Maßnahmen ist $ 32 Abs. 3 Satz 1 und 2 
des Niedersächsischen Gesetzes über die 
öffentliche Sicherheit und Ordnung (Nds. 
SOG). 76 der Kamerastandorte, also gut 
zwei Drittel, befinden sich im Zuständig- 
keitsbereich der Polizeidirektion Hanno- 
ver. Minister Boris Pistorius erläuterte: 
„Die Polizei Hannover veröffentlicht die 
Standorte ihrer Videoüberwachungsanla- 
gen bereits seit geraumer Zeit im Internet. 
Deshalb ist es richtig, dass dieser Service 
jetzt auch über die Landeshauptstadt hi- 
naus in ganz Niedersachsen angeboten 
wird. Durch die ständige Aktualität des 
Videoanlagenkatasters im Internet stellen 
wir eine dauerhafte Stärkung der Bürger- 
rechte sicher, die das Vertrauen der Bür- 
gerinnen und Bürger in die Polizei und 
deren Transparenz weiter stärkt.“ Das Vi- 
deoanlagenkataster wird fortlaufend aktu- 
alisiert (Innenministerium Niederachsen, 
PE 16.10.2014, Pistorius: „Videoanlagen- 
kataster für mehr Transparenz und Stär- 
kung der Bürgerrechte“, Kataster: http:// 
www.polizei.niedersachsen.de/aktuelles/ 
videoueberwachung/videoueberwachung- 
der-polizei-niedersachsen-110205.htm!). 


Nordrhein-Westfalen 


LDI informiert über Zu- 
lässigkeit privater Video- 
überwachung 


Der Landesbeauftragte für Da- 
tenschutz und Informationsfreiheit 


Nordrhein-Westfalen (LDI NRW) hat 
eine über 100seitige Broschüre mit 
dem Titel „Sehen und gesehen wer- 
den“ veröffentlicht, die unter www. 
ldi.nrw.de heruntergeladen oder in 
Papierform kostenfrei bestellt werden 
kann. Diese gibt Auskunft, was recht- 
lich zulässig und zu beachten ist. Sie 
erläutert die gesetzlichen Grundlagen 
anhand von praktischen Beispielen 
aus den folgenden Bereichen: Wohn- 
umfeld, Gastronomie, Geschäfte, 
Parkhäuser, Verkehr, Bildungs- und 
Freizeiteinrichtungen wie Schwimm- 
bäder und Fitnesscenter, Webcams 
sowie Videoüberwachung am Ar- 
beitsplatz. Ulrich Lepper: „Wenn 
Personen zu erkennen sind, darf Vi- 
deotechnik nur unter engen Voraus- 
setzungen eingesetzt werden. Dabei 
sind berechtigte Interessen für eine 
Videoüberwachung mit dem Recht 
abzuwägen, sich in der Öffentlichkeit 
frei und ungezwungen zu bewegen. 
Und am Arbeitsplatz ist eine dauern- 
de Beobachtung unzulässig.“ 

Der LDI NRW stellte die Broschüre 
auch anderen Einrichtungen, die zum 
Thema Videoüberwachung beraten, 
zur Verfügung, z. B. Polizeibehörden, 
Ordnungsämtern, Schiedspersonen 
und Verbänden. Ulrich Lepper: „Ich 
hoffe, dass mit diesem Informations- 
angebot das Wissen über die Voraus- 
setzungen und Grenzen der Video- 
überwachung in NRW verbessert wird. 
Mich erreichen immer mehr Beschwer- 
den. In schwerwiegenden Fällen ver- 
hänge ich Bußgelder — zuletzt über 
50.000 Euro gegen ein bundesweit 
tätiges Unternehmen, das Beschäf- 
tigte und Kundschaft überwacht hat. 
Allerdings kann ich leider nicht allen 
Beschwerden und Beratungsanfragen 
im Detail nachgehen. Mit dem neuen 
Informationsangebot können nun alle, 
die Videotechnik einsetzen möchten, 
zunächst selbst beurteilen, ob eine 
Videoüberwachung zulässig ist, und 
ihrer Verantwortung für die Einhal- 
tung des Gesetzes gerecht werden“ 
(PE LDI NRW v. 22.9.2014, Video- 
überwachung durch Private in NRW 
— Landesdatenschutzbeauftragter in- 
formiert über Voraussetzungen und 
Grenzen, Bestellmöglichkeit: https:// 
www.ldi.nrw.de/mainmenu_Service/ 
Bestellformular/index.php). 
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Thüringen 


Klopapier-Affäre in 
Thüringen führt zu 
Beamten-Hatz 


Im Jahr 2011 wurde im Thüringischen 
Landeskriminalamt (LKA) ein großer 
blauer Sack mit Toilettenpapier über- 
wacht. Die Putzfrauen hatten beklagt, 
dass Papierrollen fehlten. Also mon- 
tierten Spezialbeamte eine Kamera und 
eine für 3.000 Euro eigens beschaffte 
Schleuse, um die Kollegen durch den 
Staatsschutz überwachen zu lassen. Das 
Klopapier wurden mit elektronischen 
Etiketten versehen: Falls der Dieb die 
Schleuse passiert, würde es piepen. 
Doch es piepte nie. Der angebliche Täter 
wurde nie gefasst. 

Die Geschichte wurde 2012 publik. 
Die sogenannte Klopapier-Affäre platz- 
te in die Zeit, in der ständig neue De- 
tails dazu bekannt wurden, wie Polizei, 
Staatsanwaltschaft und Verfassungs- 
schutz bei der Fahndung nach drei bom- 
benbauenden Neonazis versagt hatten. 
Die LKA-Führung hatte sich bei dem 
Vorgang über Bedenken ihrer Hausju- 
risten hinweg gesetzt. Der Landesda- 
tenschutzbeauftragte Lutz Hasse sprach 
Beanstandungen aus. Die Polizeige- 
werkschaften empörten sich. 

Anfang 2013 versprach LKA-Chef 
Werner Jakstat Besserung: Bei einem 
Verdacht gegen Beamte sollten „immer 
erst alle möglichen Optionen und Al- 
ternativen geprüft werden“. Als Jakstat 
dies äußerte, wusste er von der Hatz, 
die nach dem angeblichen Verräter der 
peinlichen Ermittlungen veranstaltet 
wurde, und an der sich sowohl Verfas- 
sungsschutz als auch Staatsanwaltschaft 
willig beteiligten. Diese Ermittlungen 
wegen des Verdachts auf Geheimnis- 
verrat begannen am 04.07.2011, als ein 
Journalist beim LKA wegen der Klopa- 
pier-Überwachung erstmals anfragte. 
Noch am selben Tag wurde eine Liste 
von etwa 20 Beamten erstellt, die von 
der misslichen Angelegenheit Kennt- 
nis hatten. Darüber hinaus wurde die 
Staatsanwaltschaft eingebunden und 
Strafanzeige „von Amts wegen gegen 
Unbekannt“ gestellt und intern ermit- 
telt. Da alle möglichen Verdächtigen in 
Erfurt arbeiteten, wurde das Verfahren 
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an die Polizeidirektion Jena abgegeben. 
Im Juli erteilte das Innenministerium 
„die Ermächtigung zur Verfolgung der 
zur Last gelegten Tat der Verletzung des 
Dienstgeheimnisses und einer besonde- 
ren Geheimhaltungspflicht“. 

Am 18.08.2011 kam es zu einem ers- 
ten Arbeitstreffen zwischen Staatsan- 
waltschaft und Polizei in Jena, wo die 
geplanten Vernehmungen von sieben 
Beamten besprochen wurden. Schnell 
fokussierten sich die Ermittlungen aber 
auf einen bestimmten Polizisten A. Ein- 
ziges Indiz war, dass er den anfragenden 
Journalisten kannte. Im Januar 2012 
wurde gegen den Verdächtigen A. neben 
Disziplinar- und Ermittlungsverfahren 
auch eine sogenannte Sicherheitsüber- 
prüfung durchgeführt —- an der üblicher- 
weise das Landesamt für Verfassungs- 
schutz beteiligt ist. Gegen A. strengte 
man eine sogenannte Ü2, eine „erwei- 
terte Sicherheitsüberprüfung‘“, an. Dabei 
werden nicht nur die personenbezogen 
Daten aller Verfassungsschutzämter und 
Nachrichtendienste, des Bundeszentral- 
registers, des Bundeskriminalamtes ge- 
zogen. Auch alle Polizeidienststellen der 
Regionen, in denen der Beamte zuletzt 
gemeldet war, sind abzufragen. In der 
Regel wird zusätzlich der Lebenspartner 
überprüft. 

Der Verfassungsschutz beantragte 
Einblick in die Ermittlungsakten. In dem 
Schreiben an die Staatsanwaltschaft 
vom 27.01.2012 begründete der Dienst 
die Forderung damit, dass möglicher- 
weise aus den Akten auch Erkenntnisse 
über „zum Beispiel Alkoholabhängig- 
keiten, psychische Erkrankungen oder 
Überschuldungen“ gewonnen werden 
könnten. Schließlich, hieß es, gelte bei 
einer Sicherheitsüberprüfung nicht der 
Grundsatz „Im Zweifel für den Ange- 
klagten“, sondern „Im Zweifel für die 
Sicherheit“. Im Frühjahr 2012 beantrag- 
te die Staatsanwaltschaft Erfurt beim 
Amtsgericht „ohne vorherige Anhörung 
die Durchsuchung der Person, der Woh- 
nung mit Nebenräumen und der Fahr- 
zeuge“ des Beschuldigten. Das wich- 
tigste Indiz blieb weiterhin die Bekannt- 
schaft von A. mit dem Journalisten. 

Das Amtsgericht überzeugte dies 
nicht und teilte am 04.04.2014 der 
Staatsanwaltschaft mit, dass jeder mit 
der Klopapier-Ermittlung irgendwie 
befasste Beamte als Täter infrage kom- 


me. Die Zeugenaussagen ergäben „kei- 
ne Veranlassung“ für einen Durchsu- 
chungsbeschluss. Der Vorwurf gründe 
sich „auf nichts anderes als Vermutun- 
gen“. Dies sei „erheblich zu wenig“. Die 
Staatsanwaltschaft legte Beschwerde 
gegen diese Verweigerung der Durchsu- 
chung ein. Am 01.06.2012 bestätigte die 
7. Straf- und Beschwerdekammer des 
Landgerichts, dass der Kreis der Tat- 
verdächtigen etwa 40 Personen betrage. 
Es sei deshalb nicht nachvollziehbar, 
warum nur gegen A. ermittelt worden 
sei. Die Bekanntschaft des Polizisten 
mit dem Journalisten reiche als An- 
haltspunkt nicht aus. A. habe gegenüber 
seinen Vorgesetzten den Umgang mit 
dem Journalisten stets offen gelegt. Der 
Staatsanwaltschaft blieb nichts anderes 
übrig, als die Ermittlungen einzustellen. 

Inzwischen hat der Datenschutzbeauf- 
tragte Hasse eine Prüfung eingeleitet. 
Ihm gehe es vor allem um die Zusam- 
menarbeit mit dem Verfassungsschutz: 
„Wir haben Akteneinsicht beantragt.“ 
Als die Presse über den vorstehenden 
Vorgang berichtete, empörte sich die 
Opposition im Landtag von Linke, SPD 
und Grünen über die „Hexenjagd“, den 
„Exzess“ und die „Einschüchterung“. 
Mit der Einschaltung des Verfassungs- 
schutzes, so SPD-Fraktionsvize Doro- 
thea Marx habe die „Fehler-Unkultur“ 
im LKA und im Innenministerium einen 
„makabren neuen Höhepunkt“ erreicht. 
Der grüne Innenpolitiker Dirk Adams 
meinte: „Es ging nicht um einen Dieb- 
stahl, sondern darum, unliebsame und 
kritische Beamte loszuwerden“. Die Lin- 
ken-Abgeordnete Katharina König reich- 
te eine parlamentarische Anfrage ein und 
sprach von der „nicht vorhandenen De- 
mokratiekompetenz des Landesamtes für 
Verfassungsschutz“. Alle drei genannten 
Abgeordneten gehörten dem NSU-Un- 
tersuchungsausschuss des Landtags an, 
wo sie bei Zeugenvernehmungen oft auf 
eingeschüchterte Beamte trafen. 

Das Innenministerium bemühte sich 
erst spät um mediale Schadensbegren- 
zung. Zunächst hatte man noch nicht 
mitteilen können, warum der Verfas- 
sungsschutz an den Ermittlungen gegen 
den Polizisten beteiligt war. Der für den 
Geheimschutz zuständige Mitarbeiter 
des Landeskriminalamtes (LKA) be- 
finde sich im Urlaub, hieß es. Als der 
Vorgang in der Zeitung stand, wusste 
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man plötzlich, dass die „Sicherheits- 
überprüfung“ im Rahmen der Ermitt- 
lungen „erforderlich“ gewesen sei. Für 
eine andere Entscheidung der Behörden 
habe es „keinen Spielraum“ gegeben. 
Später reichte der Ministeriumssprecher 


am Telefon nach, dass damals für den 
betroffenen LKA-Beamten aus dienst- 
lichen Gründen sowieso eine erneute 
Sicherheitsüberprüfung _angestanden 
hätte. Diese sei aufgrund des Verdachts 
nur noch „vorgezogen“ worden (Debes, 


Datenschutznachrichten aus dem Ausland 


UNO 


Menschenrechtsaus- 
schuss verlangt Rechts- 
schutz vor NSA- 
Überwachung 


Der UN-Menschenrechtsausschuss 
nahm in seinem 4. Staatenbericht zur 
USA und seinen „Abschließenden Be- 
obachtungen“ (Concluding observa- 
tions) vom März 2014 Stellung zur 
Massenüberwachung der NSA. Der 
Ausschuss wacht über die Einhaltung 
der bürgerlichen und politischen Rechte 
in den 167 Ländern, die dem so genann- 
ten UN-Zivilpakt beigetreten sind. 

Der Ausschuss fordert die USA 
grundsätzlich dazu auf, die Verpflich- 
tungen des Paktes — entsprechend der 
Spruchpraxis des Ausschusses und sei- 
nem General Comment No. 31 aus dem 
Jahre 2004 — auch dann einzuhalten, 
wenn staatliche Stellen der USA außer- 
halb der USA agieren oder von den USA 
aus nicht in den USA aufhältige Auslän- 
der „ins Visier“ nehmen. Er zeigt sich 
in Bezug auf die massenhafte Überwa- 
chung der NSA im Rahmen des Über- 
wachungsprogramms PRISM „besorgt“ 
in Bezug auf den nachteiligen Auswir- 
kungen, die dies auf das Recht der Pri- 
vatsphäre hat. Er bemängelt insbeson- 
dere, dass es in den USA an einem ef- 
fektiven Instrumentarium für Betroffene 
sogenannten „non-US persons“ (also 
Nicht-US-Bürger und Ausländer, die 
kein Daueraufenthaltsrecht in den USA 
haben) fehle, um sich gegen die Über- 
wachungsmaßnahmen der NSA recht- 
lich zur Wehr zu setzen. Der Ausschuss 
begrüßt zwar, dass Präsident Obama mit 
seiner Presidential Policy Directive vom 
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17.01.2014 einen gewissen Schutz auf 
für non-US persons in Aussicht stellt, 
macht aber gleichwohl deutlich, dass 
diese unklaren Aussagen (,to the maxi- 
mum extent feasible consistent with na- 
tional security“) keinen hinreichenden 
Schutz bieten. 

In seinen Empfehlungen verlangt der 
Ausschuss, dass die rechtlichen Vor- 
aussetzungen für die Überwachung von 
In- wie Ausländern den gleichen rechts- 
staatlichen Grundsätzen, insbesondere 
dem Grundsatz der Verhältnismäßigkeit 
genügen müssen. Hierzu verlangt der 
Ausschuss, dass es eine klare und trans- 
parente Rechtsgrundlage gibt, die auf 
einen spezifischen Zweck ausgerichtet 
ist und hinreichend präzise die Voraus- 
setzungen und Umstände umschreibt, 
in denen eine Überwachung zulässig 
ist. Des Weiteren fordert der Ausschuss 
Regeln für die Dauer der Überwachung, 
Verfahren für die Nutzung und Speiche- 
rung der Daten sowie Sicherungsmecha- 
nismen gegen Missbrauch. 

Der Ausschuss empfiehlt eine Re- 
form, die eine wirklich unabhängige 
und effektive Kontrolle der Überwa- 
chung zum Ziel hat. Dies zielt gegen 
das US-System des geheimen Foreign 
Intelligence Surveillance Court (FISC), 
dem der Ausschuss diese Rolle offenbar 
nicht mal im Ansatz zutraut. 

Auch wenn nicht zu erwarten ist, 
dass sich die USA an alle Empfehlun- 
gen des Ausschusses halten werden, so 
zeigt die Presidential Policy Directive, 
bei aller Unzulänglichkeit, dass sich 
die USA zumindest unter einem gewis- 
sen Rechtfertigungszwang sehen. Das 
haben auch die in der Folge zusätz- 
lich gemachten Ankündigungen einer 
weiteren Verbesserung bezüglich des 
Rechtsschutzes von Nicht-US-Bürgern 


Klopapier-Affäre: LKA ließ Polizisten 
von Geheimdienst überprüfen, www. 
thueringer-allgemeine.de 03.09.2014; 
Dedes, Klopapier-Affäre wird zum The- 
ma im Thüringer Landtag, www.thue- 
ringer-allgemeine.de 04.09.2014). 


gezeigt. Die erfreulich klaren Aussagen 
des Ausschusses sind jedenfalls ein wei- 
teres, sehr deutliches Signal, dass sich 
die USA mit ihrer Überwachungspraxis 
außerhalb des völker- und menschen- 
rechtlich Gebotenen bewegt. Die Stel- 
lungnahme des Ausschusses sollte auch 
der Bundesregierung ein Ansporn sein, 
endlich ernsthaft gegenüber den USA 
auf eine Beendigung der massenweisen 
Verletzung von Grund- und Menschen- 
rechten hinzuwirken (von Notz, UN be- 
stätigt noch einmal: Massenhafte Über- 
wachung widerspricht Menschenrecht 
gruen-digital.de 30.07.2014; siehe auch 
zum Bericht der UN-Hochkommissarin 
vom 16.07.2014 DANA 3/2014, 119 £.). 


OECD 


„Ende des Bankgeheim- 
nisses“ durch Steuerab- 
kommen 


Aufder „Berlin Tax Conference 2014“ 
haben Vertreter von 51 Staaten ein Ab- 
kommen unterschrieben, das Steuer- 
betrug durch Auslandskonten besser 
bekämpfen soll. Es regelt ein Verfahren 
für einen automatischen Daten-Infor- 
mationsaustausch von Finanzinstituten 
an Steuerverwaltungen anderer Länder. 
Ziel ist es, ein Verfahren zu etablieren, 
das als globaler Standard Verbreitung 
findet. Das Abkommen auf Initiative 
der Organisation für Entwicklung und 
Zusammenarbeit (OECD) basiert auf 
Ersuchen der G8- und der G20-Staaten. 
Bisher läuft der Informationsaustausch 
über Kapitaleinkünfte zum Zweck der 
korrekten Versteuerung zäh: Hat ein 
Deutscher beispielsweise in Norwegen 
ein Konto mit Zinseinkünften, muss er 
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das zwar in der Steuererklärung ange- 
ben. Doch wenn er es nicht tut, ist die 
Wahrscheinlichkeit, dass diese Einnah- 
men auffliegen, bisher sehr gering. Die 
deutschen Steuerbehörden müssten ge- 
zielt in Norwegen nachfragen. 

Mit den neuen Regelungen sollen die 
Steuerbehörden in Deutschland auto- 
matisch von den Finanzinstituten und 
Versicherungsgesellschaften in den Un- 
terzeichnerstaaten alle Angaben über 
Kapitalerträge und den Kontostand 
ihrer Einwohner bekommen, was die 
OECD veranlasst zu verkünden: „Die 
Ära des Bankgeheimnisses ist vorbei.“ 
Angaben sind zu machen über Zinsen, 
Dividenden, Guthaben auf Konten oder 
Erlöse aus dem Verkauf von Finanzver- 
mögen. Die Meldung erfolgt gegenüber 
einer Behörde im eigenen Land, wenn 
der Begünstigte im Ausland lebt. Vom 
Informationsaustausch betroffen sind 
nicht nur Einzelpersonen, sondern auch 
juristische Personen, also Einzelfir- 
men Stiftungen und Trusts, die oft zur 
Verschleierung von Identitäten genutzt 
wurden und von denen künftig die wah- 
ren Eigentümer ermittelt und angegeben 
werden müssen. 

Zu den Unterzeichnern gehören gro- 
Be Industriestaaten wie Deutschland, 
Frankreich und Großbritannien so- 
wie wichtige Finanzzentren wie die 
Schweiz, Liechtenstein und Singapur 
sowie diverse Karibik- und Kanalin- 
seln, die traditionell als Heimat von so 
genannten Briefkastenfirmen dienten, z. 
B. der Inselstaat Cayman Islands. Alle 
EU-Staaten sind dabei. Diese hatten un- 
tereinander bereits ein entsprechendes 
System vereinbart. 100 weitere Länder 
haben das Papier zwar nicht unterzeich- 
net, befürworten aber die darin aufge- 
führten Maßnahmen. In vielen Staaten 
hatten Fälle prominenter Steuerhinter- 
zieher — wie in Deutschland Uli Hoeneß 
— Empörung hervorgerufen. 

Der Austausch zwischen den Unter- 
zeichnerstaaten — die USA gehören nicht 
dazu - soll auf dem Prinzip der Gegen- 
seitigkeit beruhen. Letztlich verabreden 
die Staaten über bilaterale Verträge, sich 
gegenseitig die steuerlich relevanten 
Daten ihrer Einwohner zukommen zu 
lassen. Offen ist noch, ob Unterzeich- 
nerstaaten letztlich aussuchen können, 
mit welchem Unterzeichnerland sie 
diese Vereinbarung treffen und mit wel- 
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chem nicht. Sanktionen bei Nichtum- 
setzung des Abkommen sind nicht vor- 
gesehen. Bei dem US-amerikanischen 
Anti-Steuerflucht-Abkommen war eine 
wesentliche Erfolgsbedingung, dass 
Banken, die aus dem Ausland amerika- 
nische Kunden nicht melden, eine Strafe 
in Höhe von 30% ihrer US-Einnahmen 
droht, so dass die Banken ein Eigeninte- 
resse an der Meldung der Daten haben. 

Gemäß dem nun verabschiedeten 
OECD-Abkommen sollen ab 2017 
jährlich die Daten des Vorjahres ge- 
meldet werden. Beträge unter 250.000 
US-Dollar fallen nicht unter die Infor- 
mationspflicht. Auch Anteile an Trusts 
oder Stiftungen von 25% oder weniger 
müssen nicht gemeldet werden. Die 
Daten dürfen allein für die Steuererhe- 
bung genutzt werden. Zur Verfolgung 
von Geldwäsche oder Korruption dür- 
fen die Daten nur verwendet werden, 
wenn die Behörden des Landes, in dem 
das Geld auf der Bank liegt, dies erlau- 
ben. Die neue Regelung gilt für neue 
Konten, die ab Januar 2016 eröffnet 
werden. Von September 2017 an kön- 
nen Länder die erhobenen Daten dann 
untereinander austauschen. In dem 
Abkommen wird auch ein technischer 
Rahmen für den Finanzdatenaustausch 
vorgegeben. 

Daneben regelt das Abkommen auch 
die Rechte und Pflichten bei speziellen 
und spontanen Anfragen von Behörden 
aus einem anderen Staat. Den Angaben 
des Bundesfinanzministerums nach 
wird nun explizit ausgeschlossen, dass 
Staaten die Beantwortung solcher An- 
fragen weiterhin mit der Begründung 
verweigern können, die entsprechenden 
Informationen befänden sich beispiels- 
weise im Besitz eines Kreditinstituts. 
Der deutsche Bundesfinanzminister 
Schäuble meinte: „Das Entdeckungs- 
risiko für Steuersünder wird sehr hoch 
sein.“ Gleichwohl werde sich das Pro- 
blem jedoch nicht komplett abschaffen 
lassen. Es werde immer wieder Men- 
schen geben, so Schäuble, „die neue 
Ideen entwickeln, bei der Steuer zu 
betrügen.‘“ In Deutschland wird voraus- 
sichtlich das Bundeszentralamt für Steu- 
ern die Daten aus dem Ausland emp- 
fangen und an die lokalen Finanzämter 
weitergeben. Ökonomen schätzen, dass 
Deutsche 360 Mrd. Euro undeklariert im 
Ausland verbergen. 


Trotz einiger Schlupflöcher (fehlen- 
de Sanktionen gegen Banken bei la- 
scher Identifizierung und Meldung der 
tatsächlichen Kontoinhaber, Möglich- 
keit der Verschleierung über Briefkas- 
tenfirmen und Stiftungen, Anlage von 
Schwarzgeld in Kunst oder Gold) sehen 
Experten in dem Abkommen einen Mei- 
lenstein. Entscheidend ist allerdings, ob 
es tatsächlich in all den Ländern, die nun 
unterschrieben haben, auch umgesetzt 
wird. Auch Aktivisten für mehr Steu- 
ergerechtigkeit begrüßten das Abkom- 
men. Manche kritisieren jedoch, dass 
nicht alle Staaten vom automatischen 
Informationsaustausch profitieren. Ins- 
besondere arme Entwicklungsländer in 
Afrika und Asien sind technisch nicht in 
der Lage, selbst Kundendaten ins Aus- 
land zu liefern. 

Wie sensibel die Länder beim Thema 
Bankengeheimnis sind, zeigt die EU- 
Zinsrichtlinie: Über zehn Jahre lang wur- 
de in der EU um ein Abkommen gerun- 
gen, um zwischen den Mitgliedstaaten 
einen automatischen Informationsaus- 
tausch zumindest über Zinseinkünfte auf- 
zubauen. 2003 trat das Gesetz in Kraft. 
Die Banken der britischen Inseln Isle of 
Man, Jersey und Guernsey legen erst seit 
2011 die Zinseinkünfte ihrer Ausland- 
kunden den Steuerbehörden offen, Lu- 
xemburg und Österreich aber sind immer 
noch außen vor (Anthony/Meyer-Rüth, 
„Ara des Bankgeheimnisses ist vorbei“, 
www.tagesschau.de 29.10.2014; Böhme, 
OECD-Abkommen gegen Steuerflucht, 
www.dw.de 29.10.2014; Brinkmann, 
Bankgeheimnis wird bald Geschichte SZ 
30.10.2014, 1). 


Dänemark 


Peilsender-Pilot-Projekt 
für Obdachlose 


Odense, die drittgrößte Stadt in Dä- 
nemark, stattet Obdachlose, darunter 
auch psychisch, Demenz- und Drogen- 
Kranke, mit Peilsender aus, um diese 
auf der Straße lebenden Menschen zu 
überwachen. Die Daten gehen direkt 
an eine städtische Behörde, die Bewe- 
gungsabläufe und Aufenthaltsorte der 
Obdachlosen auswertet. Als Anreiz 
dafür, dass sie einen Peilsender in der 
Tasche tragen, erhalten sie drei warme 
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Mahlzeiten pro Tag. Sozialarbeiter Tom 
Roenning, der das Projekt initiiert hat, 
erläutert: „So weit ich weiß, wurde das 
weltweit noch nie zuvor getestet. Das 
Ziel ist, möglichst viel über das Leben 
der Obdachlosen zu erfahren — wir wol- 
len wissen, wohin sie gehen, wann sie 
dort hingehen, wie lange sie bleiben.“ 

Die Verantwortlichen in Odense be- 
mühen sich, die guten Absichten hinter 
dem orwellsch anmutenden Projekt he- 
rauszustellen. Steen Moller, konservati- 
ver Vizebürgermeister, weist darauf hin, 
dass alles auf freiwilliger Basis stattfin- 
det. Die Stadt sammle die Daten nicht, 
um Obdachlose aus der Öffentlichkeit 
zu verdrängen oder sie zu drangsalieren. 
Vielmehr gehe es darum, das Leben auf 
der Straße zu verbessern: „Solange das 
freiwillig geschieht, ist es eine Situation, 
die für alle von Vorteil ist.“ Roenning er- 
gänzt: „Indem wir die bevorzugten Plätze 
und den Tagesrhythmus wohnungsloser 
Menschen kennen, können wir unse- 
re sozialen Hilfsangebote verbessern.“ 
Wärmstuben, medizinische Hilfen und 
resozialisierende Aktionen könnten zum 
richtigen Zeitpunkt an den städtischen 
Routen und Treffpunkten der Obdach- 
losen optimal platziert werden. Bislang 
habe es Sozialarbeitende gegeben, die 
gelegentlich mit Listen durch die Stadt 
liefen, um Aufenthaltsorte der Obdachlo- 
sen zu notieren. Das Sozialbudget könne 
effektiver eingesetzt werden. Auch für 
Angehörige der Obdachlosen, die sich 
Sorgen machen, könnten GPS-Sender 
eine gewisse Erleichterung bringen. 

Was in anderen Ländern Alarmglo- 
cken schrillen lässt, trifft in Dänemark 
kaum auf Kritik. In Skandinavien trauen 
die Menschen traditionell ihrem Staat. 
Wenn der Wohlfahrtsstaat Gutes für 
sie tut, müssen sich die Menschen auch 
überwachen lassen, so eine weit verbrei- 
tete Meinung. Den Initiatoren war von 
Anfang an bewusst, dass das Projekt 
auf ethische Vorbehalte stoßen könnte. 
So heißt es, dass die GPS-Ortung ano- 
nym sei: Welcher Obdachlose welchen 
Peilsender trägt, werde nicht erfasst. 
Eine individuelle Verfolgung der Teil- 
nehmenden, so Roenning, sei demnach 
gar nicht möglich. Zudem sei die Da- 
tenerfassung zeitlich begrenzt. Eine 
Woche lang werden die Standorte der 
Obdachlosen aufgezeichnet, alle sechs 
Monate soll die Messung wiederholt 
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werden. 20 Personen haben am ersten 
Durchlauf des Projekts teilgenommen, 
der im September 2014 beendet wurde. 
Negative Reaktionen blieben bisher aus. 
Dänische Medien berichten positiv über 
das Projekt. Roenning: „Wir haben uns 
bemüht, alle Beteiligten von Anfang an 
über die Maßnahme zu informieren und 
sie einzubeziehen.“ Besonders die Ob- 
dachlosen hätten mit Begeisterung auf 
das Projekt reagiert. Die Überwachung 
werteten sie als Interesse für ihre Be- 
dürfnisse, nicht als Eingriff in die Pri- 
vatsphäre. 

Ursprünglich wurden die GPS-Sender 
zum Schutz von Demenzkranken, die 
sich nicht mehr allein orientieren kön- 
nen, entwickelt. Dass diese Technik nun 
in der Obdachlosenhilfe angekommen 
ist, findet Roenning mit Blick auf die 
Stadtentwicklung logisch: „Heute sind 
viele Plätze in der Stadt privatisiert, Ob- 
dachlose müssen ständig ihren Schlaf- 
platz wechseln. Vor diesem Hintergrund 
ist es für Sozialarbeiter schwierig, Woh- 
nungslose zu finden und regelmäßige 
Hilfe zu leisten.“ Schätzungen zufolge 
leben heute zwischen 10.000 und 15.000 
Menschen in Dänemark auf der Straße, 
die meisten in Kopenhagen. In Odense 
sind ca. 1% der 187.000 BewohnerInnen 
ohne eigenen Wohnsitz, die meisten von 
ihnen sind bereits in städtischen Unter- 
künften untergebracht. Laut einer Studie 
des Danish National Centre for Social 
Research haben sich die Obdachlosen- 
zahlen in Odense von 2009 bis 2013 
halbiert — Experten loben die städtischen 
Behörden für die schnelle Vermittlung 
in Privatwohnungen und die gute Sozi- 
alberatung für Obdachlose. 

Das Projekt löste eine öffentliche De- 
batte über den Umgang mit Obdachlo- 
sen in Dänemark aus. Die Behörden 
in Odense setzen auf Verständigung 
und Integration — und stellen sich da- 
mit gegen den Trend zur Verdrängung 
von Obdachlosen, der in vielen euro- 
päischen Städten zu beobachten ist. In 
Madrid etwa sollen 4.000 Busstationen 
so umgebaut werden, dass Obdachlose 
nicht mehr auf den Sitzbänken schlafen 
können. In der Stadt, die von der Fi- 
nanzkrise hart getroffen wurde und in 
der viele soziale Einrichtungen schlie- 
ßen mussten, löste die Maßnahme Em- 
pörung aus. Roenning beobachtet diese 
Entwicklung mit Sorge: „Ausschluss 


ist das falsche Signal. So werden ob- 
dachlose Menschen niemals wieder in 
die Gesellschaft integriert.“ Wer helfen 
wolle, müsse das Leben der Obdach- 
losen zunächst verstehen — und dann 
zentrale Hilfsangebote schaffen, anstatt 
soziale Probleme aus dem öffentlichen 
Bewusstsein zu verdrängen. Die GPS- 
Überwachung in Odense soll nun da- 
bei helfen. Im Dezember 2014 werden 
dann erneut Peilsender an Obdachlose in 
der Stadt verteilt (Anwar, Kieler Nach- 
richten 27.09.2014, 13; Lasarzik, Pilot- 
Projekt in Dänemark: Peilsender für Ob- 
dachlose, www.spiegel.de 23.09.2014). 


Türkei 


Neue Regierung ver- 
schärft Internetkontrolle 
weiter 


Der türkische Präsident Recep Tayy- 
ip Erdogan hatte in den letzten Mona- 
ten seiner Amtszeit als Premierminister 
keinen Zweifel daran gelassen, was er 
von den sozialen Netzwerken hält: Der 
Kurznachrichtendienst Twitter sei eine 
„große Gefahr“, müsse an „der Wur- 
zel“ ausgerissen werden und diene als 
„Mittel für systematischen Rufmord“. 
Im Februar 2014 hatte die damalige 
türkische Regierung schon ein Gesetz 
zur schärferen Internetkontrolle durch- 
gesetzt. Die neue türkische Regierung 
unter Premierminister Davutoglu baut 
diese Internet-Kontrolle aus und nutzt 
hierfür die Parlamentsmehrheit der Re- 
gierungspartei AKP. Am 09.09.2014 
verabschiedete das Parlament ein Ge- 
setz, das über die bestehende restriktive 
Regelung insbesondere in zwei Punk- 
ten hinausgeht. Künftig darf die staat- 
liche Telekommunikationsbehörde TIB 
Websites ohne Gerichtsbeschluss sper- 
ren, zum Schutz der nationalen Sicher- 
heit, um die öffentliche Ordnung wie- 
derherzustellen oder um Verbrechen zu 
verhindern — Formulierungen mit viel 
Spielraum für die Auslegung. Erst nach 
der Sperrung muss sich die Behörde in- 
nerhalb von 24 Stunden an ein Gericht 
wenden, das die Blockade — wiederum 
innerhalb einer 48-Stunden-Frist — ge- 
nehmigen muss. Bisher war das Sper- 
ren von Internetseiten ohne vorherigen 
Gerichtsbeschluss nur zulässig, wenn 
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eine eindeutige Verletzung von Persön- 
lichkeitsrechten vorlag. 

Das neue Gesetz sieht zudem vor, 
dass TIB Nutzerdaten bis zu zwei Jah- 
re auf Vorrat speichern darf. Bisher galt 
eine zweijährige Speicherpflicht für 
Dienstanbieter; die staatliche TIB durfte 
diese Daten abfragen, wenn im Rahmen 
von Ermittlungen ein richterlicher Be- 
schluss vorlag. Mit der neuen Regelung 
darf die Behörde Nutzerdaten anfordern 
oder erheben, speichern und entspre- 
chend schnell darauf zugreifen; sie darf 
diese Daten zudem an die Sicherheits- 
dienste weitergeben — benötigt dafür al- 
lerdings einen Gerichtsbeschluss. 

Erdal Aksünger, Abgeordneter der 
größten Oppositionspartei CHP, mein- 
te, die Türkei werde ein Ort, „in dem 
Gesetzesänderungen über Nacht vor- 
genommen werden, um das Land nach 
Gestapo-Manier zu regieren“. Die neue 
Macht der TIB-Behörde schaffe die Ge- 
waltenteilung ab. Der Internet-Experte 
Kerem Altıparmak warnte, mit dem 
Gesetz könne der Vorsitzende der Inter- 
netbehörde willkürlich gegen Websites 
vorgehen, die ihm nicht gefielen. Und 
die Menschenrechtsorganisation Hu- 
man Rights Watch kritisierte das Gesetz 
als „Eingriff in die Privatsphäre aller 
Internetnutzer“. Die Zustimmung von 
Erdogan zu dem vom Parlament verab- 
schiedeten Gesetz gilt als sicher, zumal 
er es war, der im Frühjahr eine Sperre 
von Youtube und Twitter angeordnet 
hatte, nachdem Telefonmitschnitte und 
Korruptionsvorwürfe gegen ihn im Netz 
die Runde machten, etwa eine Aufnah- 
me, in der er angeblich seinen Sohn an- 
weist, Schmiergelder zu verstecken. Das 
Verfassungsgericht hob die Sperre der 
Seiten später wieder auf (Seeling, Schlag 
gegen Websites, SZ 11.09.2014, 7; Re- 
gierung verschärft Internet-Kontrolle, 
www.sueddeutsche.de 12.09.2014). 


Israel 


Reservisten von Spiona- 
ge-Elite verweigern sich 


In einem Brief an den israelischen 
Ministerpräsidenten Benjamin Ne- 
tanjahu und die Armeeführung, Ver- 
teidigungsminister Mosche Jaalon, 
schrieben 43 Soldaten und Reservisten 
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der Elite-Aufklärungseinheit „Einheit 
8200“, sie wollten nicht länger die 
Rechte von Millionen Menschen ver- 
letzen und sich nicht weiter an Ein- 
sätzen beteiligen, die sich gegen die 
Palästinenser richten. In dem Brief 
werfen die Soldaten der Regierung 
vor, die Informationen der Einheit zu 
nutzen, um unschuldigen Zivilisten zu 
schaden. Die Daten ermöglichten poli- 
tische Verfolgung und spalteten die pa- 
lästinensische Gesellschaft durch das 
Anwerben von Informanten. Die Re- 
servisten innerhalb der Einheit würden 
den Dienst deswegen verweigern: „Wir 
können nicht mit gutem Gewissen wei- 
terhin in diesem System dienen.“ Die 
palästinensische Bevölkerung sei der 
Überwachung und Spionage von isra- 
elischer Seite vollkommen schutzlos 
ausgesetzt. „Während es strenge Gren- 
zen bei der Überwachung der israeli- 
schen Bevölkerung gibt, genießen die 
Palästinenser diesen Schutz nicht.“ 
Es werde kein Unterschied zwischen 
Menschen mit und ohne gewalttätigen 
Hintergrund gemacht. Die Arbeit des 
israelischen Geheimdienstes mache es 
den Menschen in den besetzten Gebie- 
ten unmöglich, ein normales Leben zu 
führen. Die Autoren betonen, sie seien 
keinesfalls generell gegen die Geheim- 
dienstarbeit oder die Armee, sondern 
nur gegen die Auswüchse der Besat- 
ZUng. 

Die Unterzeichner arbeiten in der 
„Einheit 8200‘ der Streitkräfte, die für 
die elektronische Aufklärung zustän- 
dig ist. Sie ähnelt in ihrer Arbeit dem 
US-amerikanischen Geheimdienst Na- 
tional Security Agency (NSA). Auf- 
gabe der dort arbeitenden Soldaten ist 
es Telefonate abzuhören, E-Mails und 
den SMS-Verkehr abzufangen. In dem 
Brief heißt es, dass ein großer Teil ih- 
rer Arbeit nichts mit der Sicherheit Is- 
raels zu tun gehabt habe. Vielmehr sei 
es darum gegangen, alle Aspekte des 
palästinensischen Lebens zu kontrol- 
lieren, um so die Besetzung aufrecht 
zu erhalten. Es würden Informationen 
über sexuelle Vorlieben oder Krank- 
heiten gesammelt, um Palästinenser 
zu erpressen und zu Kollaborateuren 
zu machen. Dies diene zwar manch- 
mal der Gefahrenabwehr, doch dabei 
würden die „Rechte von Millionen 
Menschen“ verletzt. „Wir weigern uns, 


ein Werkzeug zu sein, das die militä- 
rische Kontrolle der besetzten Gebiete 
vertieft.“ Alle Soldaten und überhaupt 
alle israelischen Bürgerinnen und Bür- 
ger werden aufgefordert, „ihre Stimme 
gegen diese Verstöße zu erheben und 
ihnen ein Ende zu setzen“. Zu den Be- 
weggründen für den Schritt an die Öf- 
fentlichkeit erklärte einer der Autoren, 
er habe den Film „Das Leben der An- 
deren“ gesehen, in dem es um die Me- 
thoden der Stasi in der DDR geht: „Wir 
tun genau dasselbe, nur effizienter.“ 

Die Armee drohte den Soldaten da- 
raufhin mit harten disziplinarischen 
Maßnahmen. Geheimdienstminister 
Juval Steinitz will sie vor Gericht stel- 
len. Regierungschef Netanjahu reagier- 
te auf den Brief, indem er von „halt- 
losen Verleumdungen“ sprach und die 
Truppe pauschal als „moralischste Ar- 
mee der Welt“ bezeichnete. Präsident 
Reuven Rivlin stellte sich vor die „Ein- 
heit 8200“ und forderte sie auf, ihre 
„wichtige Mission“ unbeirrt fortzufüh- 
ren. Verteidigungsminister Jaalon be- 
scheinigte der Eliteeinheit eine „heilige 
Arbeit, die schon viele Leben gerettet“ 
habe. Er beauftragte den Generalstabs- 
chef, die Brief-Autoren als Straftäter 
zu behandeln. Parlamentspräsident Juli 
Edelstein warf den Briefschreibern 
vor, „all jenen einen hervorragenden 
Dienst zu erweisen, die Israel hassen“. 
Oppositionsführer Issac Herzog von 
der Arbeitspartei, selbst ehemals Major 
bei der „Einheit 8200“, bekundete über 
Facebook seine Treue zur alten Truppe 
und verurteilte aufs Schärfste diesen 
„Aufruf zum Ungehorsam“. Wenn es 
Missstände gebe, müssten diese auf 
anderem Weg als durch Befehlsver- 
weigerung angesprochen werden. Le- 
diglich Zehava Galon von der linken 
Meretz-Partei, brach eine Lanze für 
die Reservisten: „Eine Regierung, die 
ihre besten Söhne in den Krieg schickt, 
sollte auch darauf hören, was sie zu 
sagen haben.“ Wenn die Verweigerer 
vor Gericht gestellt werden, droht ih- 
nen eine Gefängnisstrafe bis zu drei 
Jahren (Münch, Sturm der Entrüstung, 
SZ 16.09.2014, 8; Israelische Elite- 
Einheit verweigert Spionage gegen Pa- 
lästinenser, www.zeit.de 12.09.2014, 
Elite-Soldaten verweigern Einsätze ge- 
gen Palästinenser, www.sueddeutsche. 
de 12.09.2014). 


179 


USA 


Yahoo drohte Millio- 
nenstrafe bei Daten- 
verweigerung 


Yahoo veröffentlichte am 11.09.2014 
Dokumente aus seinem Widerspruchs- 
verfahren vor dem Geheimgericht For- 
eign Intelligence Surveillance Court 
(FISC). Danach sollte das Unternehmen 
verpflichtet werden, täglich 250.000 
US-Dollar zu zahlen, falls es die mas- 
senhafte Weitergabe von Userdaten an 
US-Geheimdienste verweigerte. Die 
US-Regierung hat Yahoo 2008 mit die- 
ser millionenschweren Geldbuße ge- 
droht, falls der Internetkonzern die mas- 
senhafte Weitergabe von Nutzerdaten an 
die Geheimdienstbehörden verweigern 
sollte. Das Unternehmen wollte nicht 
der Aufforderung zur Datenübermitt- 
lung nachkommen, die es als verfas- 
sungswidrig ansah. 

Yahoo hatte gemäß den Angaben von 
Yahoo-Chefjustiziar Ron Bell die ent- 
sprechenden US-Überwachungsgesetze 
beim FISC angefochten: „Unsere An- 
fechtung und eine spätere Berufung in 
dem Fall waren nicht erfolgreich.“ Die 
Niederlage führte schließlich dazu, dass 
Yahoo und sieben andere Firmen beim 
Prism-Programm des Geheimdiens- 
tes NSA mitmachen mussten, das zur 
Sammlung von Millionen Nutzerdaten 
diente. Dass die rund 1500 bislang ge- 
heim gehaltene Seiten des damaligen 
Verfahrens freigegeben wurden, ist für 
Yahoo ein Erfolg, so Bell: „Wir hal- 
ten es für einen wichtigen Sieg für die 
Transparenz. Die User kommen zuerst 
bei Yahoo.‘ Das Unternehmen will die 
Schriftstücke nach und nach publizieren, 
da das Gericht selbst keinen öffentlichen 
Zugang zu freigegebenen Schriftstücken 
biete und Yahoo die Dokumente für die 
Web-Pulbikation tauglich machen müs- 
se. Außerdem erklärte Bell, dass trotz 
der Freigabe der Dokumente Teile da- 
von weiterhin unter Verschluss blieben 
— nicht einmal Yahoo bzw. die Juristen 
von Yahoo würden diese Teile kennen. 
Yahoo will weiterhin Anordnungen 
und Gesetze anfechten, die man als un- 
rechtmäßig, unklar oder zu weit gefasst 
ansehe (NSA-Überwachungsskandal: 
Millionenstrafe für Yahoo bei Nicht- 
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Herausgabe von Nutzerdaten, www.hei- 
se.de 12.09.2014; US-Regierung drohte 
Yahoo, SZ 13./14.09.2014, 10). 


USA 


Internetvollprofil für 100 
Dollar im Monat 


In den USA können KundInnen sich 
gegen Bezahlung von einer Marktfor- 
schungsfirma überwachen lassen. Die 
weiß dann immer, wohin man surft und 
wo man sich befindet. Luth Research, 
eine Firma aus San Diego, will Marke- 
tingunternehmen und Werbetreibenden 
Zugriff auf das digitale Leben Zehntau- 
sender Menschen geben, die sich vorher 
bereiterklärt haben, mitzumachen. Sie 
erhalten 100 Dollar im Monat, sollen 
dafür den Großteil ihrer Aktivitäten auf 
Smartphone, Tablet oder PC offenlegen. 
Luth nennt das Angebot „ZQ Intelli- 
gence“. Es sammelt und analysiert Da- 
ten von den Telefonen und Computern 
vorausgewählter Teilnehmer über ein 
geschütztes virtuelles privates Netzwerk 
(VPN). Die Daten werden durch die 
Server der Firma geschleust, gesammelt 
und auf Trends analysiert. Luth schaut 
sich laut eigenen Angaben nicht die 
Inhalte von Nachrichten an, weiß aber 
beispielsweise, wo sich die Smartpho- 
ne-Nutzenden gerade aufhalten, welche 
Websites sie anklicken, nach was sie bei 
Google suchen und wie oft sie Twitter 
checken. Die Teilnehmenden müssen 
außerdem regelmäßig Fragen über ihr 
Onlineverhalten beantworten. 

Luth führte z. B. im Jahr 2013 ein Pro- 
jekt für den Autohersteller Ford durch, 
der genauer wissen wollte, wie die 
Kaufentscheidung für einen Neuwagen 
bei den KundInnen fällt. Luth suchte da- 
raufhin nach KundInnen, die sich gera- 
de für ein Fahrzeug interessieren — und 
verfolgte ihren digitalen Weg von den 
ersten Recherchen im Web bis zum tat- 
sächlichen Kauf. Dabei war z. B. nach- 
vollziehbar, wann ein Kunde zu einem 
Händler fuhr und dort dann die Websites 
konkurrierender Autohersteller auf sei- 
nem Mobiltelefon besuchte. Auch das 
Auffinden von Finanzierungsoptionen 
wurde getrackt (Vollzugriff auf Online- 
daten für 100 Dollar im Monat, www. 
heise.de 16.10.2014). 


Venezuela 


Fingerabdrücke gegen 
Schmuggel 


In allen Supermärkten Venezuelas sol- 
len gemäß den Vorstellungen von Staats- 
präsident Nicolas Maduro künftig Fin- 
gerabdruck-Scanner an den Kassen ste- 
hen, mit denen festgestellt werden wird, 
ob einzelne BürgerInnen ungewöhnlich 
häufig und viel einkaufen. Dahinter 
steht der Verdacht, dass die Kaufenden 
die Produkte außer Landes schmuggeln 
und dort zu höheren Preisen weiterver- 
kaufen. Die Scanner seien ein „Segen“ 
im Kampf gegen den Schmuggel güns- 
tiger Lebensmittel aus Venezuela in die 
Nachbarstaaten: „Das biometrische Sys- 
tem wird perfekt sein.‘ Staatliche Preis- 
kontrollen sorgen in Venezuela dafür, 
dass Lebensmittel und andere Produkte 
des täglichen Bedarfs teils nur ein Zehn- 
tel so viel kosten wie in den Nachbar- 
staaten. Maduro führt die grassierende 
Lebensmittelknappheit darauf zurück, 
dass in großem Stil günstige Produk- 
te aus Venezuela herausgeschmuggelt 
werden, insbesondere nach Kolumbien. 
Seit kurzem schließt Venezuela jede 
Nacht die 2.200 Kilometer lange Grenze 
zwischen beiden Ländern. Oppositions- 
politiker kritisierten den Scanner-Plan 
scharf und verglichen ihn mit kommu- 
nistischen Rationierungsmaßnahmen, 
so zZ. B. der oppositionelle Abgeordne- 
te Alfonso Marquina: „Die Regierung 
kann Familien nicht einfach sagen, was 
sie essen sollen.“ Obwohl Venezuela die 
größten Ölreserven der Welt hat, steckt 
die Wirtschaft des Landes seit Langem 
in der Krise. Die Staatsverschuldung 
steigt, es gibt ständig Engpässe bei der 
Versorgung mit Grundnahrungsmitteln 
und anderen wichtigen Gütern. Die In- 
flation stand aufs Jahr gerechnet zuletzt 
bei 60% (Scanner gegen Schmuggel, SZ 
23./24.08.2014, 29). 


Japan 


Polizei konfisziert 
Spanner-Videoschuhe 


In Japan fahndet die Polizei nach 
mehr als 2.000 Menschen, die Schuhe 
mit versteckten Minikameras gekauft 
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haben und damit heimliche Aufnah- 
men unter Frauenröcken gemacht haben 
könnten. Die High-Tech-Spannerschuhe 
konnten via Fernsteuerung bedient wer- 
den. Die zuständigen Beamten in der 
alten Kaiserstadt Kyoto hatten zuvor 
die Betreiber einer Internetseite, auf der 
solche Schuhe vertrieben wurden, be- 
reits zu einer Geldstrafe verdonnert. Die 
Polizei fahndet nun nach allen Käufern, 


die auf der Kundenliste der Website auf- 
geführt sind, die sichergestellt wurde. 
Die Polizei in Kyoto: „Der einzige Weg 
solche heimlichen Fotos einzudämmen, 
ist die Geräte auszumerzen.“ Die Be- 
amten klingeln von Tür zu Tür, um die 
Verantwortlichen zur Aushändigung der 
Schuhe aufzufordern. Insgesamt sollen 
etwa 2.500 Paare zwischen den Jahren 
2012 und 2014 verkauft worden sein. 


Ein Paar kostete umgerechnet etwa 215 
Euro. Bereits im vergangenen Juli waren 
in Kyoto sowohl ein Verkäufer als auch 
ein Kunde vorübergehend festgenommen 
worden. Beide wurden zu einem Bußgeld 
von je 500.000 Yen, umgerechnet knapp 
3.600 Euro herangezogen (Aktion gegen 
Spanner, SZ 18.09.2014, 8; High-Tech- 
Spanner: Polizei fahndet nach Kamera- 
Schuhen; www.chip.de 17.09.2014). 
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BGH 


IP-Adressenspeicherung 
für 7 Tage ist okay 


Der Bundesgerichtshof (BGH) hat 
gemäß seinem Urteil vom 03.07.2013 
keine Einwände gegen die Praxis der 
Deutschen Telekom, IP-Adressen als 
Verbindungsdaten von Internetnutzern 
eine Woche lang aufzubewahren, um 
im Einklang mit $ 96 Abs. 18.21. V. 
m. $ 100 Abs. 1 Telekommunikations- 
gesetz (TKG) Netzstörungen und Feh- 
ler an TK-Anlagen abzuwehren (Az. 
II ZR 391/13). Der BGH schloss sich 
damit der Meinung des Oberlandes- 
gerichts Frankfurt (OLG) und eines 
Sachverständigen an, dass es nach dem 
derzeitigen Stand der Technik keine 
andere Möglichkeit zur Garantie der 
Netzsicherheit gibt und diese Maßnah- 
me verhältnismäßig ist. 

Der BGH hatte schon in der gleichen 
Angelegenheit am 13.01.2011 (Az. II 
ZR 146/10) ähnlich geurteilt. Kläger 
war ein DSL-Kunde der Telekom, der 
von dieser eine dynamische IP-Adresse 
für den Zugang zum Internet erhält. Er 
meinte, die Telekom müsse diese Ver- 
bindungsdaten aus Datenschutzgrün- 
den sofort nach dem Ende der Online- 
Sitzung löschen. Der BGH bezieht sich 
in seiner aktuellen Begründung auf die 
Ausführungen des OLG Frankfurt, wo- 
nach der angehörte Experte „nachvoll- 
ziehbar dargelegt“ habe, dass bei der 
Telekom monatlich mehr als 500.000 
Missbrauchsmeldungen eingingen. Von 
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diesen stünden allein 162.000 im Zu- 
sammenhang mit Spam. 164.000 hät- 
ten einen potenziell direkten Einfluss 
auf die Infrastruktur und die Diens- 
te der Telekom. Der BGH wies dar- 
auf hin, dass die Telekom schon dann 
eingeschränkt werde, wenn aufgrund 
unerwünschter Werbemails einzelne 
ihrer IP-Nummernbereiche von ande- 
ren Internetdiensten gesperrt werden. 
Die vom Kläger geforderte Pseudony- 
misierung müsste dann gemäß gesetz- 
licher Vorgaben aufgehoben werden. 
Der Sachverständige habe dargelegt, 
dass der damit verbundene Mehrauf- 
wand angesichts der Vielzahl der Fälle, 
die monatlich abzuwickeln seien, nicht 
vertretbar sei. 

Auch mit EU-Datenschutzvorgaben 
sei die einwöchige Speicherung ver- 
einbar. Diese sähen eine Ausnahme von 
Löschungspflichten für Verbindungs- 
daten bereits zum Verhüten, Ermitteln, 
Feststellen und Verfolgen von Miss- 
bräuchen der Kommunikationssyste- 
me vor, was erst recht für das Erken- 
nen, Eingrenzen oder Beseitigen von 
hieraus resultierenden Störungen der 
TK-Anlagen des Netzbetreibers gelten 
müsse. Das Urteil des Europäischen 
Gerichtshofs (EuGH) zur Vorratsda- 
tenspeicherung ergäbe kein anderes 
Ergebnis. Für den EuGH sei das Feh- 
len eines objektiven Kriteriums zum 
Aufbewahren von Verbindungsdaten 
maßgeblich gewesen. Das sei nicht 
auf die Speicherung bei der Telekom 
übertragbar, die nicht für Zwecke der 
Strafverfolgung erfolge, sondern im 


Interesse des Netzbetreibers (Krempl, 
BGH bleibt dabei: Siebentägiges Spei- 
chern von IP-Adressen ist rechtmäßig, 
www.heise.de 01.08.2014; NJW 2014, 
2500 ff.). 


BGH 


EuGH-Vorlage: Umgang 
mit dynamischen IP- 
Adressen 


Mit Urteil vom 28.10.2014 entschied 
der Bundesgerichtshof (BGH), zwei 
Fragen zum datenschutzrechtlichen 
Umgang mit dynamischen IP-Adressen 
dem Europäischen Gerichtshof vorzule- 
gen (VI ZR 135/13). In dem Verfahren 
verlangt der Kläger von der beklagten 
Bundesrepublik Deutschland Unterlas- 
sung der Speicherung von dynamischen 
IP-Adressen. Bei den meisten allgemein 
zugänglichen Internetportalen des Bun- 
des werden alle Zugriffe in Protokollda- 
teien festgehalten mit dem Ziel, Angriffe 
abzuwehren und die strafrechtliche Ver- 
folgung von Angreifern zu ermöglichen. 
Dabei werden unter anderem der Name 
der abgerufenen Seite, der Zeitpunkt 
des Abrufs und die IP-Adresse des zu- 
greifenden Rechners über das Ende des 
jeweiligen Nutzungsvorgangs hinaus 
gespeichert. 

Mit der Klage will der Kläger errei- 
chen, dass die ihm zugewiesenen IP- 
Adressen nicht über das Ende des jewei- 
ligen Nutzungsvorgangs hinaus gespei- 
chert werden. Das Amtsgericht Tiergar- 
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ten hatte die Klage am 13.08.2008 ab- 
gewiesen (2 C 6/08). Auf die Berufung 
des Klägers hat das Landgericht Berlin 
dem Kläger mit Urteil vom 31.01.2013 
den Unterlassungsanspruch nur inso- 
weit zuerkannt, als er Speicherungen 
von IP-Adressen in Verbindung mit dem 
Zeitpunkt des jeweiligen Nutzungsvor- 
gangs betrifft und der Kläger während 
eines Nutzungsvorgangs seine Persona- 
lien angibt (57 S 87/08). Gegen dieses 
Urteil haben beide Parteien die vom 
Berufungsgericht zugelassene Revision 
eingelegt. 

Der BGH beschloss, das Verfahren 
auszusetzen und dem EuGH zwei Fra- 
gen zur Auslegung der EG-Datenschutz- 
Richtlinie zur Vorabentscheidung vorzu- 
legen: 

1. Der Unterlassungsanspruch setzt 
voraus, dass es sich bei den dynamischen 
IP-Adressen für die verantwortlichen 
Stellen der Beklagten, die die Adres- 
sen speichern, um „personenbezogene 
Daten“ handelt, die von dem durch die 
Richtlinie harmonisierten Datenschutz- 
recht geschützt werden. Das könnte in 
den Fällen, in denen der Kläger während 
eines Nutzungsvorgangs seine Persona- 
lien nicht angegeben hat, fraglich sein. 
Denn nach den getroffenen Feststellun- 
gen lagen den verantwortlichen Stel- 
len keine Informationen vor, die eine 
Identifizierung des Klägers anhand der 
IP-Adressen ermöglicht hätten. Auch 
durfte der Zugangsanbieter des Klägers 
den verantwortlichen Stellen keine Aus- 
kunft über die Identität des Klägers er- 
teilen. Der Bundesgerichtshof hat dem 
Europäischen Gerichtshof deshalb die 
Frage vorgelegt, ob Art. 2 Buchstabe a 
der EG-Datenschutz-Richtlinie dahin 
auszulegen ist, dass eine IP-Adresse, die 
ein Diensteanbieter im Zusammenhang 
mit einem Zugriff auf seine Internetseite 
speichert, für diesen schon dann ein per- 
sonenbezogenes Datum darstellt, wenn 
lediglich ein Dritter über das zur Iden- 
tifizierung der betroffenen Person erfor- 
derliche Zusatzwissen verfügt. 

2. Geht man von „personenbezogenen 
Daten“ aus, so dürfen die IP-Adressen 
des Nutzers nicht ohne eine gesetzliche 
Erlaubnis gespeichert werden ($ 12 Abs. 
1 TMG), wenn — wie hier — eine Ein- 
willigung des Nutzers fehlt. Nach dem 
für die rechtliche Prüfung maßgebenden 
Vortrag der Beklagten ist die Speiche- 
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rung der IP-Adressen zur Gewährleis- 
tung und Aufrechterhaltung der Sicher- 
heit und Funktionsfähigkeit ihrer Tele- 
medien erforderlich. Ob das für eine Er- 
laubnis nach $ 15 Abs. 1 TMG ausreicht, 
ist fraglich. Systematische Erwägungen 
sprechen dafür, dass diese Vorschrift 
eine Datenerhebung und -verwendung 
nur erlaubt, um ein konkretes Nutzungs- 
verhältnis zu ermöglichen, und dass 
die Daten, soweit sie nicht für Abrech- 
nungszwecke benötigt werden, mit dem 
Ende des jeweiligen Nutzungsvorgangs 
zu löschen sind. Art. 7 Buchstabe f 
der EG-Datenschutz-Richtlinie könnte 
aber eine weitergehende Auslegung ge- 
bieten. Der BGH hat dem EuGH deshalb 
die Frage vorgelegt, ob die EG-Daten- 
schutz-Richtlinie einer Vorschrift des 
nationalen Rechts mit dem Inhalt des 
$ 15 Abs. 1 TMG entgegen steht, wo- 
nach der Diensteanbieter personenbezo- 
gene Daten eines Nutzers ohne dessen 
Einwilligung nur erheben und verwen- 
den darf, soweit dies erforderlich ist, um 
die konkrete Inanspruchnahme des Te- 
lemediums durch den jeweiligen Nutzer 
zu ermöglichen und abzurechnen, und 
wonach der Zweck, die generelle Funk- 
tionsfähigkeit des Telemediums zu ge- 
währleisten, die Verwendung nicht über 
das Ende des jeweiligen Nutzungsvor- 
gangs hinaus rechtfertigen kann (Vor- 
lage an den EuGH in Sachen „Speiche- 
rung von dynamischen IP-Adressen“, 
BGH PM v. 28.10.2014). 


BGH 


Arztpraxen müssen Inter- 
net-Bewertungen zumeist 
dulden 


Der Bundesgerichtshof (BGH) hat mit 
Urteil vom 23.09.2014 die Klage eines 
Münchner Gynäkologen abgewiesen, 
der seinen Eintrag im Bewertungsportal 
Jameda.de löschen lassen wollte (VIZR 
358/13). Auch die Vorinstanzen hatten 
die Klage abgewiesen. Das Landgericht 
hatte sich in der Abwägung für die Kom- 
munikationsfreiheit des Internetanbieters 
entschieden. Die beruflichen Daten des 
Mediziners dürften erhoben, gespeichert 
und genutzt werden. Der Vorsitzende 
Richter Gregor Galke erläuterte in der 
Verhandlung, dass der „Knackpunkt“ 


bei der Abwägung läge, ob das Recht 
des Arztes auf informationelle Selbstbe- 
stimmung stärker wiege als das Recht 
der Firma auf Kommunikationsfreiheit. 
Eine Rolle spielte dabei auch das Urteil 
des BGH von 2009 zum Lehrer-Bewer- 
tungsportal „spickmich“, in dem die Kla- 
ge einer Lehrerin gegen ihre Benotung 
abgewiesen wurde (DANA 2/2009, 75). 
Zwar werde ein Arzt durch negative Be- 
wertungen „nicht unerheblich belastet“, 
auch weil eine gewisse Gefahr des Miss- 
brauchs solcher Portale bestehe, aber: 
„Das Recht des Klägers auf informatio- 
nelle Selbstbestimmung überwiegt das 
Recht der Beklagten auf Kommunika- 
tionsfreiheit nicht.“ Zu berücksichtigen 
sei auch „‚das Interesse der Öffentlichkeit 
an Informationen über ärztliche Leistun- 
gen“. Vor dem Hintergrund der freien 
Arztwahl trage das Portal dazu bei, den 
PatientInnen die aus seiner Sicht erfor- 
derlichen Informationen zur Verfügung 
zu stellen. Als niedergelassener Arzt 
wende sich der Kläger an potenzielle Pa- 
tientInnen und stelle sich damit dem frei- 
en Wettbewerb, wo er sich auf Kritik ein- 
stellen müsse. Unter diesen Umständen 
sei der Schutz des Persönlichkeitsrechts 
nicht sonderlich stark ausgeprägt. 

Die vom Portal erhobenen Daten be- 
rührten einen Bereich, in dem „sich der 
Einzelne auf die Beobachtung seines 
Verhaltens durch eine breitere Öffent- 
lichkeit sowie auf Kritik einstellen“ 
müsse. Dabei sei der Beklagte nicht 
schutzlos, weil er die Löschung un- 
wahrer Tatsachenbehauptungen sowie 
beleidigender oder sonst unzulässiger 
Bewertungen verlangen könne. Im Juli 
2014 hatte der BGH über die Klage 
eines anderen Arztes entschieden, der 
auf dem Portal Sanego mehrfach an- 
onym mit übler Nachrede überzogen 
worden war. Das Portal löschte gemäß 
seiner Verpflichtung diese Einträge, die 
unwahre Behauptungen oder stigma- 
tisierende Bewertungen enthielten. In 
dem Fall hatte der BGH aber das Aus- 
kunftsverlangen gegenüber dem Portal 
über Name und Anschrift des Anony- 
mus zurückgewiesen. Ein Anspruch auf 
Herausgabe der Nutzerdaten möge zwar 
„wünschenswert“ sein, doch das müsse 
der Gesetzgeber entscheiden. Inzwi- 
schen hat die CDU-Bundestagsfraktion 
den Hinweis aufgegriffen und will den 
Schutz vor Verleumdungen verbessern, 
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indem im Wiederholungsfall die Identi- 
tät anonymer Kritiker aufgehoben wird. 
In der aktuellen BGH-Verhandlung be- 
richtete der Anwalt des klagenden Arz- 
tes Joachim Kummer, auf jameda.de 
würden Ärzte aus dem Umfeld des an- 
geklickten Mediziners angezeigt. Gegen 
Entgelt werde diese Konkurrenz ausge- 
blendet. Für den konkret entschiedenen 
Fall kam diese Information zu spät. Sie 
hätte schon vor den unteren Instanzen 
vorgebracht werden müssen (Bundes- 
gerichtshof: Ärzte müssen Online- 
Bewertungen dulden, www.heise.de 
23.09.2014; Janisch, Kein Entrinnen, 
SZ 24.09.2014, 19). 


BVerwG: 


Presse hat Anspruch auf 
Kenntnis der Gerichts- 
personen 


Das Bundesverwaltungsgericht 
(BVerwG) hat mit Urteil vom 01.10.2014 
entschieden, dass der Presse auf Anfrage 
regelmäßig die Namen der Personen, die 
in einem Gerichtsverfahren mitgewirkt 
haben, mitzuteilen sind (Az. 6 C 35.13). 
Der Kläger, Redakteur der „Anwalts- 
nachrichten Ausländer- und Asylrecht“, 
bat den Direktor des Amtsgerichts (AG) 
Nürtingen, ihm die Abschrift einer straf- 
gerichtlichen Entscheidung zwecks Pu- 
blikation in dieser Zeitschrift zu über- 
senden. Er erhielt eine anonymisierte 
Kopie des Urteils, in der die Namen der 
am Verfahren mitwirkenden Personen 
geschwärzt waren (Berufsrichterin und 
Schöffen, Vertreter der Staatsanwalt- 
schaft, Verteidiger, Urkundsbeamtin der 
Geschäftsstelle). In der Folge teilte der 
Direktor des AG dem Kläger den Na- 
men der Berufsrichterin mit, lehnte aber 
weitere Angaben ab. Die Klage hierge- 
gen wurde vom Verwaltungsgericht VG 
Stuttgart abgewiesen. Auf die Berufung 
des Klägers wurde das beklagte Land 
Baden-Württemberg vom Verwaltungs- 
gerichtshof (VGH) Mannheim verpflich- 
tet, Auskunft auch über die Namen der 
Schöffen zu erteilen. Im Übrigen, näm- 
lich hinsichtlich der Namen des Vertre- 
ters der Staatsanwaltschaft, des Verteidi- 
gers und der Urkundsbeamtin wurde die 
Abweisung der Klage bestätigt: Insoweit 
überwiege das grundrechtlich geschützte 
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Persönlichkeitsrecht der Betroffenen das 
ebenfalls grundrechtlich geschützte Aus- 
kunftsrecht der Presse. 

Ausgangspunkt des Verfahrens war ein 
Urteil des AG Nürtingen, das auf Antrag 
der Staatsanwaltschaft ein traumatisier- 
tes Kind aus Afghanistan zu 6 Monaten 
Haft ohne Bewährung verurteilt hatte, 
weil es aus dem unsicheren Staat Grie- 
chenland mit dem Flugzeug weiter nach 
Deutschland geflohen war, wo es ein ihm 
von Schleppern übergebenes Reisedoku- 
ment auf Aufforderung vorzeigte. Die- 
selbe Strafe hatte der „Verteidiger“ ge- 
fordert und sofort nach der Verurteilung 
Rechtsmittelverzicht erklärt. Das Kind 
hatte bereits ca. 4 Monate in Untersu- 
chungshaft gesessen, die es weitgehend 
in einer Klinik des baden-württembergi- 
schen Strafvollzugs verbringen musste, 
wo es mit Medikamenten ruhiggestellt 
wurde. Die Ausländerbehörde verfügte 
daraufhin wegen der Verurteilung durch 
das AG Nürtingen die Ausweisung aus 
Deutschland. Im verwaltungsgerichtli- 
chen Verfahren wurde die Ausweisungs- 
verfügung aufgehoben und das Urteil des 
AG Nürtingen kritisiert. Hierüber wurde 
in der baden-württembergischen Presse 
berichtet. 

Das BVerwG gab der Revision des 
Klägers hinsichtlich des Anspruchs auf 
Auskunftserteilung über die Namen des 
Staatsanwalts und des Verteidigers in 
dem Strafverfahren statt. Das Persön- 
lichkeitsrecht dieser Personen müsse 
hinter dem grundrechtlich geschützten 
Auskunftsinteresse der Presse zurück- 
stehen. Sie stünden kraft des ihnen 
übertragenen Amtes bzw. ihrer Stellung 
als Organ der Rechtspflege hinsichtlich 
ihrer Mitwirkung an Gerichtsverfahren 
im Blickfeld der Öffentlichkeit. Ein be- 
rechtigtes Interesse, ihre Identität nicht 
gegenüber der Presse preiszugeben, sei 
angesichts der hohen Bedeutung des 
Grundsatzes der Öffentlichkeit für ein 
rechtsstaatliches Gerichtsverfahren nur 
dann anzunehmen, wenn sie erhebliche 
Belästigungen oder eine Gefährdung 
ihrer Sicherheit zu befürchten haben. 
Letzteres war nach den tatsächlichen 
Feststellungen des VGHs hier nicht der 
Fall. Entgegen der Auffassung des VGH 
lasse sich ein Vorrang ihres Persönlich- 
keitsrechts nicht mit der Erwägung be- 
gründen, sie trügen keine unmittelbare 
Verantwortung für ein Strafurteil, so 


dass die Kenntnis ihrer Namen keinen 
hinreichenden Informationswert für die 
Presse besitze. Verteidiger und Staats- 
anwalt nähmen auf den gerichtlichen 
Verfahrensgang Einfluss. Zudem sei es 
nicht Sache staatlicher Stellen, sondern 
der Presse selbst, darüber zu bestimmen, 
welche Informationen unter welchen As- 
pekten vonnöten sind, um ein bestimm- 
tes Thema zum Zweck einer möglichen 
Berichterstattung über Gerichtsverfah- 
ren im Recherchewege aufzubereiten. 
Der Staat habe nicht in eine journalisti- 
sche Relevanzprüfung einzutreten. 

Die Presse darf gemäß dem Urteil 
des BVerwG im Rahmen der Recher- 
che zu Gerichtsverfahren aber nicht die 
Namen von Personen herausfordern, 
denen selbst bei Anlegung eines groß- 
zügigen, den besonderen Funktionsbe- 
dürfnissen und Arbeitsgewohnheiten 
der Presse vollauf Rechnung tragenden 
Maßstabs kein materielle Bedeutung 
im Zusammenhang mit dem Thema der 
Recherche bzw. der ins Auge gefassten 
Berichterstattung zukommt. Erfolglos 
bleiben müssten also Informationsver- 
langen „ins Blaue“ hinein, bei denen 
kein ernsthafter sachlicher Hintergrund 
besteht. Verweigert eine staatliche Stel- 
le aus diesen Gründen die Herausgabe 
einer personenbezogenen Information 
und erläutert die Presse daraufhin nicht 
zumindest ansatzweise den von ihr zu- 
grunde gelegten Wert dieser Information 
für ihre Recherche bzw. die ins Auge ge- 
fasste Berichterstattung, kann die staat- 
liche Stelle das Informationsverlangen 
mangels ernsthaftem Hintergrund aus- 
nahmsweise verweigern. Deshalb hat 
das BVerwG die Revision zurückgewie- 
sen, soweit sie das Verlangen nach Be- 
kanntgabe des Namens der Urkundsbe- 
amtin betraf (BVerwG PE Nr. 57/2014 
v. 01.10.2014; Mitteilung des klagenden 
Anwaltes v. 02.10.2014). 


BVerwG 


Kein Eingriff bei bayeri- 
scher automatisierter 
Kennzeichenerfassung 


Das Bundesverwaltungsgericht 
(BVerwG) in Leipzig hat mit Urteil vom 
22.10.2014 eine Klage abgewiesen, die 
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dem Freistaat Bayern verbieten wollte, 
durch den verdeckten Einsatz automati- 
sierter Kennzeichenerkennungssysteme 
die Kraftfahrzeuge (Kfz) des Klägers zu 
erfassen und mit polizeilichen Dateien 
abzugleichen (6 C 7.13). 

Der beklagte Freistaat Bayern setzt 
seit 2006 stationäre und mobile Kenn- 
zeichenerfassungsgeräte ein. Die sta- 
tionären Geräte sind derzeit auf zwölf 
Standorte insbesondere an den bayeri- 
schen Autobahnen verteilt. Die mobilen 
Geräte werden aufgrund der jeweiligen 
Lagebeurteilung des Landeskriminal- 
amtes (LKA) anlassbezogen, beispiels- 
weise bei internationalen Fußballturnie- 
ren oder ähnlichen Großveranstaltun- 
gen, eingesetzt. Die stationären Anlagen 
bestehen aus einer Kamera, die den flie- 
Benden Verkehr auf jeweils einer Fahr- 
spur von hinten erfasst und das Kenn- 
zeichen eines jeden durchfahrenden 
Fahrzeugs mittels eines nicht sichtbaren 
Infrarotblitzes aufnimmt. Aus dem digi- 
talen Bild des Kennzeichens wird durch 
eine spezielle Software ein digitaler 
Datensatz mit den Ziffern und Buchsta- 
ben des Kennzeichens ausgelesen und 
über eine Datenleitung an einen stati- 
onären Rechner weitergeleitet, der am 
Fahrbahnrand in einem verschlossenen 
Behälter untergebracht ist. Dort wird 
das erfasste Kennzeichen mit verschie- 
denen im Rechner gespeicherten Fahn- 
dungsdateien abgeglichen. Bei mobilen 
Anlagen werden die Kennzeichen über 
am Fahrbahnrand aufgestellte Kameras 
erfasst und über einen mobilen Rechner 
in einem vor Ort abgestellten Polizei- 
fahrzeug mit den Fahndungsdateien ab- 
geglichen. 

Geklagt hatte der Informatiker Ben- 
jamin Erhart, weil die Erfassung Milli- 
onen Autofahrer unter Generalverdacht 
stelle. Autofahrer könnten durch den 
„fehleranfälligen Massenabgleich“ irr- 
tümlich angehalten und kontrolliert 
werden. Es sei auch nicht ausgeschlos- 
sen, dass Polizei und Geheimdienste 
Bewegungsprofile erstellten. Die Maß- 
nahme habe „abschreckende Wirkung“ 
auf die Gesellschaft und keinen nen- 
nenswerten Nutzen. Die Erfolgsquote 
liegt Erhart zufolge bei 0,03%. Er wohnt 
in Bayern mit einem weiteren Wohn- 
sitz in Österreich und ist nach seinen 
Angaben häufig in Bayern mit seinem 
Kfz unterwegs. Er beantragte mit sei- 
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ner Klage, die Erfassung und den Ab- 
gleich seiner Kfz-Kennzeichen zu un- 
terlassen. Der automatisierte Abgleich 
seiner Kfz-Kennzeichen beeinträchtige 
sein allgemeines Persönlichkeitsrecht 
und greife in sein Grundrecht auf infor- 
mationelle Selbstbestimmung ein. Das 
Verwaltungsgericht München hatte die 
Klage am 23.09.2009 abgewiesen (M 7 
K 08.3052), der Verwaltungsgerichtshof 
(VGH) München hatte die Berufung des 
Klägers am 17.12.2012 (10 BV 09.2641) 
zurückgewiesen. 

Das BVerwG wies die Revision des 
Klägers zurück. Es wies die Unterlas- 
sungsklage zurück, weil dem Kläger 
durch die Anwendung der gesetzlichen 
Vorschriften über die automatisierte 
Kennzeichenerfassung mit hinreichen- 
der Wahrscheinlichkeit kein Eingriff in 
sein grundrechtlich geschütztes Recht 
auf informationelle Selbstbestimmung 
als Unterfall des allgemeinen Persön- 
lichkeitsrechts drohe. Gemäß den tat- 
sächlichen Feststellungen des VGH, an 
die das BVerwG als Revisionsgericht 
gebunden ist, wird das Kennzeichen ei- 
nes vorbeifahrenden Kfz von dem Gerät 
erfasst und mit den dafür herangezoge- 
nen Dateien abgeglichen. Wenn keine 
Übereinstimmung mit Kennzeichen in 
den Dateien festgestellt wird, liege kein 
Eingriff in das Recht auf informationel- 
le Selbstbestimmung vor. In diesem Fall 
sei rechtlich und technisch gesichert, 
dass die Daten anonym bleiben und so- 
fort spurenlos und ohne die Möglichkeit, 
einen Personenbezug herzustellen, ge- 
löscht werden. Ebenso wenig liege ein 
Eingriff in den Fällen vor, in denen ein 
Kennzeichen von dem Gerät erfasst und 
bei dem Abgleich mit den Dateien eine 
Übereinstimmung mit Kennzeichen in 
den Dateien angezeigt wird, der sodann 
vorgenommene manuelle Vergleich von 
abgelichtetem Kennzeichen und dem 
vom System ausgelesenen Kennzeichen 
durch einen Polizeibeamten aber er- 
gibt, dass die Kennzeichen tatsächlich 
nicht übereinstimmen. In diesem Fall 
lösche der Polizeibeamte den gesam- 
ten Vorgang umgehend durch Eingabe 
des Befehls „Entfernen“, ohne dass er 
die Identität des Halters ermittelt. Ein 
Eingriff liege nur vor, wenn das Kenn- 
zeichen von dem Gerät erfasst wird und 
bei dem Abgleich mit den Dateien eine 
Übereinstimmung mit Kennzeichen in 


den Dateien angezeigt wird, die tatsäch- 
lich gegeben ist. In diesem Fall wird 
der Vorgang gespeichert und steht für 
weitere polizeiliche Maßnahmen zur 
Verfügung. Dem Kläger drohe ein sol- 
cher Eingriff jedoch nicht mit hinrei- 
chender Wahrscheinlichkeit, weil die 
Kennzeichen von ihm gehaltener Kraft- 
fahrzeuge nicht in den herangezogenen 
Dateien gespeichert sind und nur eine 
hypothetische Möglichkeit dafür be- 
steht, dass sie künftig dort gespeichert 
werden könnten. Vertreten wurde Erhart 
von Udo Kauß. Der Freiburger Jurist 
hatte 2008 Verfassungsbeschwerden ge- 
gen das Kfz-Kennzeichen-Scanning in 
Hessen und Schleswig-Holstein erfolg- 
reich durchgefochten. Nun soll auch die 
bayerische Vorgehensweise vom Bun- 
desverfassungsgericht geprüft werden 
(BVerwG PM v. 22.10.2014, Klage 
gegen automatisierte Kennzeichener- 
fassung in Bayern erfolglos; Krempl, 
www.heise.de 23.10.2014). 


OVG Schleswig-Holstein 


Fanpagebetreiber 

für Nutzungsdaten- 
verarbeitung Facebooks 
nicht verantwortlich 


Mit Urteil vom 04.09.2014 entschied 
das Schleswig-Holsteinische Oberver- 
waltungsgericht (OVG), dass Betreiber 
von Facebook-Fanpages in keiner Weise 
eine Verantwortung für die hierüber aus- 
gelöste Verarbeitung von Nutzungsdaten 
bei Facebook tragen (4 LB 20/13). Sie 
seien weder verantwortliche Stelle im 
Sinne des Datenschutzrechts noch als 
Störer verantwortlich zu machen. Hin- 
tergrund des Urteils ist eine Musterver- 
fügung, mit der das Unabhängige Lan- 
deszentrum für Datenschutz Schleswig- 
Holstein (ULD) der Wirtschaftsakade- 
mie der Industrie- und Handelskammer 
(WAK) auferlegt hatte, ihre Fanpage bei 
Facebook zu deaktivieren. Begründet 
wurde dies vom ULD mit datenschutz- 
rechtlichen Verstößen von Facebook 
— insbesondere einer fehlenden Wider- 
spruchsmöglichkeit von Nutzern nach 
dem Telemediengesetz gegen die Erstel- 
lung von Nutzungsprofilen. Hiergegen 
hatte die WAK erfolgreich beim Verwal- 
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tungsgericht Schleswig (VG) geklagt. 
Mit dem Urteil wurde die Berufung 
des ULD gegen das Urteil des VG vom 
09.10.2013 (DANA 4/2013, 169) vom 
OVG zurückgewiesen. Der vorsitzen- 
de Richter verwies Betroffene wie auch 
Aufsichtsbehörden darauf, sich wegen 
Datenschutzverstößen an Facebook zu 
halten, wobei während der Verhandlung 
nicht geklärt wurde, ob dies Facebook 
Inc. in den USA, Facebook Ltd. in Dub- 
lin/Irland oder Facebook Germany in 
Hamburg sei. Obwohl die Betreiber von 
Fanpages die Datenverarbeitung durch 
Facebook auslösen, kann es diesen, so 
die Schlussfolgerung des ULD, völ- 
lig egal sein, ob die Datenverarbeitung 
durch Facebook in rechtmäßiger oder 
rechtswidriger Weise geschieht. Das 
OVG begründete dies damit, dass die 
Fanpagebetreiber keinen Einfluss auf die 
technische und rechtliche Ausgestaltung 
der Datenverarbeitung durch Facebook 
hätten. Nach Auffassung des OVG war 
die Anordnung des ULD auch rechtswid- 
rig, weil vor einer Untersagungsverfü- 
gung an einen datenschutzrechtlich Ver- 
antwortlichen erst ein abgestuftes Ver- 
fahren einzuhalten sei, in dem zunächst 
eine Umgestaltung der Datenverarbei- 
tung angeordnet und ein Zwangsgeld 
verhängt werden muss. Eine rechtlich 
grundsätzlich denkbare Ausnahmesitua- 
tion hiervon habe hier nicht vorgelegen. 
Marcus Schween, Federführer Recht 
der IHK Schleswig-Holstein, sah sich 
mit dem Urteil bestätigt: „Auch schles- 
wig-holsteinische Unternehmen kön- 
nen, wie alle anderen Unternehmen in 
Deutschland und Europa, soziale Netz- 
werke wie Facebook als Kommunika- 
tions- und Vertriebskanal nutzen. Mit 
diesem Urteil sind Drohungen gegen- 
über Unternehmen oder Behauptungen, 
Unternehmen würden sich rechtswidrig 
verhalten, nun endgültig der Boden ent- 
zogen.“ Es sei ein hohes Maß an Rechts- 
sicherheit hergestellt worden. „Ich gehe 
auch davon aus, dass das ULD sich 
zukünftig im Ton mäßigt, wenn es sich 
zur Verwendung von Fanpages äußert.“ 
Thilo Weichert, Leiter des ULD, zeigte 
sich von dem Urteil schwer enttäuscht: 
„Das zentrale Argument des ULD, dass 
das Betreiben einer Fanpage ein recht- 
lich und technisch einheitlicher Vor- 
gang ist, bei dem sich Betreiber und 
Facebook gegenseitig ergänzen und 
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voneinander abhängig sind, wurde nicht 
gewürdigt. Die Botschaft des Urteils 
gibt behördlichen oder kommerziellen 
Seitenbetreibern auf illegalen Portalen 
aus den USA wie z. B. Facebook zwar 
vorläufig Rechtssicherheit, lässt aber 
die User als Betroffene im Regen ste- 
hen — eine Katastrophe und ein Rück- 
schlag für den Datenschutz. Hat dieses 
Urteil Bestand, so bleibt der Verantwor- 
tungslosigkeit im Internet Tür und Tor 
geöffnet.“ Weichert kündigte an, gegen 
das Urteil vor dem Bundesverwaltungs- 
gericht Revision einzulegen, wo klar- 
gestellt werden müsse, „dass sich Ins- 
titutionen ihrer datenschutzrechtlichen 
Verantwortung nicht dadurch entziehen 
können, dass sie Dritte mit illegaler 
Datenverarbeitung beauftragen“ (ULD 
PM v. 29.09.2014, „OVG-Urteil zu Fa- 
cebook-Fanpages revisionsbedürftig“; 
ULD PM v. 05.09.2014, Schleswig- 
Holsteinisches OVG: Rechtssicherheit 
für Betreiber — nicht für die Betroffe- 
nen; IHK Schleswig-Holstein, Medien- 
information v. 04.09.2014, Es bleibt 
dabei: Fanseiten sind zulässig!; OVG 
Schleswig PM v. 05.09.2014: Wirt- 
schaftsakademie kann vom ULD nicht 
zur Abschaltung ihrer Facebook-Fanpa- 
ge verpflichtet werden). 


LG München | 


Spannerfotos sind keine 
Straftat 


Ein ehemaliger Bürgermeister des 
bayerischen Ortes Scheyern im Land- 
kreis Pfaffenhofen fotografierte jungen 
Frauen unter den Rock und erstellte 
so mindestens 99 Bilder und 27 Vide- 
os. Das Landgericht (LG) München I 
entschied am 17.09.2014, dass es sich 
dabei aber nicht um eine Straftat hande- 
le, sondern nur um eine Ordnungswid- 
rigkeit. Der 56-Jährige muss dennoch 
eine Geldstrafe zahlen, weil er sich bei 
seiner Festnahme gewehrt hatte. Die 
Bilder entstanden heimlich im Sommer 
2013 am Münchner Stachus auf einer 
Rolltreppe. Der Verkäufer einer Ob- 
dachlosenzeitung hatte dies beobachtet 
und rief die Polizei. Im März 2014 war 
der Spanner dafür vom Amtsgericht zu 
einer Geldstrafe von 5.250 Euro verur- 
teilt worden (DANA 2/2014, 77 £.). Da- 


gegen hatte er Berufung eingelegt und 
nun teilweise Recht bekommen. Das LG 
sah keinen Tatbestand der Beleidigung 
bei der Spanner-Aktion, so Richterin 
Elisabeth Ehrl: „Man muss sich jeden 
Einzelfall anschauen. Man müsste ent- 
weder einen neuen Paragrafen schaffen 
oder den Beleidigungsparagrafen anders 
fassen.“ Weil sich der Spanner bei sei- 
ner Festnahme gewehrt und einen Poli- 
zisten verletzt hatte, wurde er zu 4200 
Euro Strafe verurteilt, plus 750 Euro 
Bußgeld für die Belästigung der All- 
gemeinheit (Gericht hält Spannerfotos 
nicht für Straftat, www.sueddeutsche.de 
18.09.2014; Gericht: Spannerfotos sind 
keine Straftat, SZ 19.09.2014, 45). 


VG Köln 


BfV muss Gysi-Akten 
löschen 


Mit einem Anerkenntnisurteil vom 
21.08.2014 hat das Verwaltungsgericht 
(VG) Köln das Bundesamt für Verfas- 
sungsschutz (BfV) verpflichtet, die Per- 
sonenakte des Linken-Fraktionschef im 
Bundestag Dr. Gregor Gysi zu vernich- 
ten bzw. diejenigen Daten zu löschen, 
die elektronisch gespeichert wurden 
(20 K 1468/08). Seit 2006/2007 strit- 
ten Gysi und das BfV um die Löschung 
und Vernichtung der personenbezogener 
Daten des Klägers. Nachdem das Bun- 
desverfassungsgericht mit Beschluss 
vom 17.09.2013 (2 BvR 2436.10 und 
2 BvE 6.08, „Fall Ramelow“, DANA 
1/2014, 45 f.) entschieden hatte, dass 
die langjährige Beobachtung dieses 
ehemaligen Bundestags- und jetzigen 
Landtagsabgeordneten für die Partei 
Die Linke einen Eingriff in dessen freie 
Mandatsausübung darstelle und nicht 
gerechtfertigt sei, erklärte das BfV, dass 
es nunmehr auch die gespeicherten Da- 
ten des Klägers löschen bzw. vernichten 
werde, worauf das VG auf Antrag des 
Klägers ein entsprechendes Anerkennt- 
nisurteil erließ. Gysi zeigte sich erfreut 
über die Entscheidung und forderte eine 
grundsätzliches Ende der Beobachtung 
der Linken: „Der Verfassungsschutz 
hat auf ganzer Linie verloren“ (PE VG 
Köln 05.09.2014, Bundesamt für Ver- 
fassungsschutz muss „Gysi-Akten“ lö- 
schen; SZ 06./07.09.2014, 6). 
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Markus 
Morgenroth 


Markus Morgenroth 

Sie kennen dich! Sie haben dich! Sie 
steuern dich! 

Die wahre Macht der Datensammler 
Droemer München, 2014, 271 S., ISBN 
978-3-426-27646-4 


(tw) Es kann inzwischen in tausenden 
Artikel nachgelesen werden, wie private 
Unternehmen mit welchen technischen 
Methoden und welchen mehr oder we- 
niger falschen Versprechungen und Be- 
hauptungen Menschen verdaten. Der 
Autor Morgenroth fasst in seinem Buch 
diese versprengten Erkenntnisse (mit 
Internet-Quellennachweisen) aktuell in 
einem Buch zusammen und ergänzt die- 
se mit eigenen Erfahrungen. Diese stam- 
men aus seiner Tätigkeit als Softwarein- 
genieur für ein Unternehmen im Bereich 
der verhaltensbasierten Datenanalyse im 
Silicon Valley. 2007 bis 2013 leitete er 
die europäische Niederlassung von Ca- 
taphora. Danach stieg er aus und berät 
seitdem Unternehmen wie BürgerInnen 
über die Möglichkeiten und Risiken von 
Big Data sowie zum Datenschutz. 

Sein Buch ist eine Rundreise durch die 
stark von US-Unternehmen beeinflusste 


und dominierte Welt der wirtschaftlich 
motivierten Datenerfassung und -analy- 
se von VerbraucherInnen, Beschäftigten 
oder einfach Internet-Nutzenden. Bei 
dieser Tour werden die Unternehmen 
und ihre Praktiken genannt: von Mi- 
crosoft, Google, Facebook, Apple, Axci- 
om, Twitter, WhatsApp, Amazon, eBay, 
MEDBase200 .... bis hin zu Bertels- 
mann, Otto, Post, Schober, AZ Direkt, 
Arvato Infoscore, Schufa, Ikea, Credit- 
reform, Payback, AXA, SAP, Zalando ... 
Er zeigt präzise auf, mit welchen Mit- 
teln — Video, Funktechnik, Mail, Kun- 
den- und Mitgliedskarten, Smartphones, 
Apps, Internet-PCs, eBook, Online- 
Spiele, soziale Netzwerke, Wearables ... 
die Daten gesammelt und wie diese über 
digitale Auswertungen — von Scoring, 
Tracking, Profiling bis Big Data — für 
Zwecke der Kontrolle, der Manipula- 
tion und der Diskriminierung genutzt 
werden. Selbst sensibelste Gesundheits- 
daten sind kein Tabu. Er beschreibt, wie 
der Algorithmus an die Stelle des Per- 
sonalchefs, des Marketingspezialisten 
und des Kreditsachbearbeiter tritt. Dies 
erfolgt nicht nur abstrakt, sondern an 
Hand von vielen lebendigen Beispielen. 
Er räumt mit der Hoffnung auf Ano- 
nymität, auf Vertrauen und Vertraulich- 
keit, auf Unbeobachtetheit und das Ver- 
schwinden in der Menge auf. Er stellt 
klar, dass Metadaten höchst sensibel sein 
können. Er zeigt auf, wie Stalker und 
Cyerkriminelle ein leichtes Spiel haben. 
Gesetzliche Datenschutzregeln spielen 
keine Rolle, wenn mit den Gesetzes- 
verstößen Geld verdient werden kann. 
Dabei spart der Autor keinen Lebensbe- 
reich aus: von der Auskunftei über Auto 
und Arbeitsplatz, Finanzdienstleistung, 
Handel, Internet, Television bis zu Ver- 
sicherung Am Ende gibt er knappe und 
gute Tipps zum Weiterlesen im Netz. 


Jetzt DVD-Mitglied werden: 


www.datenschutzverein.de 


Auernhammer, Hrsg. Eßer, Martin/Kra- 
mer, Philipp/von Lewinski, Kai 

BDSG - Bundesdatenschutzgesetz 
und Nebengesetze 

Kommentar 

Carl Heymanns Verlag, Köln, 4. Aufl. 
2014 

ISBN 978-3-452-27574-5 


(tw) Wer die Qualität des Datenschut- 
zes eines Landes an der Zahl der Kom- 
mentare zum nationalen Datenschutz- 
recht misst, muss zu dem Ergebnis 
kommen, dass wir in Deutschland einen 
hohen Standard haben. Kurz bevor sich 
das nationale Datenschutzrecht abzu- 
melden scheint, um einer Europäischen 
Datenschutz-Grundverordnung (EU- 
DSGVO) Platz zu machen, erscheinen 
neue Kommentare. Neuer Kommentar? 
Auernhammer war der erste Kommentar 
1977 nach der erstmaligen Verabschie- 
dung des BDSG im Jahr 1976. Seine 
bisher letzte, 3. Auflage erschien nach 
der ersten umfassenden BDSG-Novel- 
lierung im Jahr 1993. Doch hat der neue 
Auernhammer mit den vorherigen au- 
Ber dem Namen und dem Verlag nichts 
mehr gemein. Herbert Auernhammer, 
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ein Ministerialbeamter der ersten Stunde 
des Datenschutzes müsste wohl zugeste- 
hen, dass sich in den letzten 20 Jahren 
Einiges getan hat. 

Eine zentrale Verantwortung für den 
Kommentar hat offensichtlich Kai von 
Lewinski übernommen, der nicht nur 
viele Einzelparagrafen kommentiert, 
sondern auch Grundsatzerwägungen 
insbesondere in der Einleitung präsen- 
tiert. Diese sind für jemanden, der eine 
demokratisches und gesellschaftlich ori- 
entiertes Verständnis von Datenschutz 
hat, wenig erquickend. Schon in Rdn. 2 
behauptet er: „Datenschutz ist nicht nur 
Vorfeldschutz, sondern beschreibt eine 
ganze Vorfeldschutz-Kaskade. Zum ei- 
gentlichen Schutzgut des BDSG erklärt 
er den Eigenwert des Menschen und 
seine Psyche, wobei „das Recht dabei 
(potentiell und auch praktisch) immer 
unschärfer und ggf. sogar dysfunktional“ 
werde (Rdn. 3). Was das Bundesverfas- 
sungsgericht (BVerfG) als „informatio- 
nelle Selbstbestimmung“ gekennzeichnet 
hat, würde von Lewinski lieber präziser 
mit  „informationeller Fremdbestim- 
mung“ beschreiben (Rdn. 10). Bei den 
Datenschutzgesetzen der Siebziger und 
Achtziger Jahre handele es sich um einen 
„realtiv seltenen Fall vorauseilender Ge- 
setzgebung, also um Gesetzgebung vor 
dem Akutwerden des Problems“ (Rdn. 
21). Dem muss man nicht nur widerspre- 
chen, wenn man in den 80er Jahren — an- 
gesichts der Überwachungserfahrungen 
im Nationalsozialismus — gegen Volks- 
zählungen protestierte und angesichts der 
Sicherheitsgesetze eines Innenministers 
Friedrich Zimmermann sich um die Frei- 
heitlichkeit unserer Gesellschaft sorgte. 
Des Autoren reduziertes Verständnis von 
Datenschutz zeigt sich auch in seiner 
Behauptung, das Grundgesetz schreibe 
„kein institutionelles System des Daten- 
schutzes“ fest (Rdn. 64), womit er sich 
nicht nur in Widerspruch zum BVerfG 
setzt. Entgegen der öffentlichen Meinung 
behauptet von Lewinski schließlich, dass 
das Datenschutzrecht „mit dem BDSG 
von einem undurchsichtigen Gesetz gere- 
gelt (werde), das mit dem Verbot mit Er- 
laubnisvorbehalt ein in der Informations- 
gesellschaft nur schwer vermittelbares Re- 
gelungskonzept verfolgt“ ($ 38a Rdn. 1). 

Derart ideologisch vorbelastet erweist 
sich der vorliegende Kommentar ins- 
gesamt dann aber praktisch als ein eher 
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positiv zu bewertendes Unterfangen: 
Die von von Lewinski vorgegebenen 
Grundsatzerwägungen finden sich in den 
Einzelkommentierungen nicht wieder. 
Diese entsprechen vielmehr den prakti- 
schen Erfordernissen und belegen, dass 
das Regelungskonzept des BDSG doch 
vermittelbar ist. Tatsächlich verfolgen — 
ebenso wie bei den meisten BDSG-Kom- 
mentaren — die AutorInnen keine einheit- 
lichen Linien oder Interessen, es gibt eher 
grundrechts- und eher verarbeitungs- 
freundliche Beiträge. Die Autorinnen 
kommen aus allen Bereichen: der Ver- 
waltung (Eßer, Greve, Meints, Onstein, 
Raum), der Rechtsanwaltschaft (Heun, 
Kramer, Schimanek, Schreibauer), der 
Privatwirtschaft (Stollhoff, Thomale), 
dem Presserat (Führ) und der Wissen- 
schaft (Forst, Herbst, Hornung, von Le- 
winski). Sämtliche zeichnen sich durch 
eine aktuelle und valide Bearbeitung der 
vorhandenen Literatur aus, wobei Prak- 
tikerbedürfnissen eher entsprochen wird 
als wissenschaftlichen Ansprüchen. Des- 
sen ungeachtet werden Meinungsunter- 
schiede dargestellt und bewertet, wenn- 
gleich zumeist nicht intensiv diskutiert. 
Üblich gut ist die Literaturübersicht. 
Die besondere Brauchbarkeit des Kom- 
mentars hebt sich durch einige Eigen- 
schaften hervor: Kommentiert werden 
nicht nur die Normen des BDSG, son- 
dern auch Datenschutzregelungen des 
TKG (88 88-115), des TMG ($$ 11-15), 
des IFG Bund ($ 5) und des EnWG (88 
21lg, 21h). Den einzelnen Kommen- 
tierungen sind die Regelungen der eu- 
ropäischen Datenschutzrichtlinie und 
deren Erwägungsgründe vorangestellt. 
Die Google-Entscheidung des EuGH 
vom 13.05.2014 wurde noch mitbe- 


ANGELA MERKEL 
HAT NICHT 


WIRD ES KEINE 
MAUT GEBEN! 


GELOGEN: MIT IHR 


rücksichtigt. In allen Regelungen wird 
auch die Planungsperspektive der EU- 
DSGVO angesprochen. 

Die Diskussion wird auf der Höhe 
der Zeit, der aktuellen Techniken und 
Konflikte geführt. Damit folgt der 
Kommentar praktisch allen Angeboten 
auf dem Markt, die sich durch gedie- 
gene Darstellung mehr als — abgesehen 
von der oben dargestellten Position von 
Lewinskis — durch besondere Origina- 
lität auszeichnen. So wäre etwa eine 
Darstellung der Debatte um Schutzzie- 
le nicht schädlich gewesen. Auch die 
Erörterung des Konfliktes zwischen 
Meinungsfreiheit und Persönlichkeits- 
schutz bewegt sich im Bereich des Üb- 
lichen. 

Sehr zu begrüßen ist, dass einige rele- 
vante Datenschutznebengesetze (insbes. 
TKG, TMG) mitkommentiert sind. Von 
hohem praktischen Gebrauchswert sind 
auch die vielen Anhänge, die einen ver- 
anlassen können, das mit seinen 2000 
Seiten dennoch handliche Buch immer 
wieder zu Rate zu ziehen: Dort finden 
sich das gesamte IFG-Bund, Auszüge 
aus dem StGB, dem BBG, dem UWG, 
dem SGB I und X, der AO, der BRAO, 
die TKÜV, sowie auf europäischer 
Ebene die EU-Datenschutzverordnung 
von die EU selbst, die Telekommuni- 
kationsrichtlinie, das Europarats-Über- 
einkommen sowie die Vorschläge der 
Kommission zur EU-DSGVO sowie zur 
Richtlinie für den Bereich der Verhü- 
tung und Verfolgung von Straftaten und 
schließlich die Satzung der Stiftung Da- 
tenschutz (was wohl weniger von prak- 
tischer Relevanz ist). Das Stichwortver- 
zeichnis ist von wünschenswerter Aus- 
führlichkeit. 


DAS STIMMT SOGAR. 
DER GLÄSERNE 
AUTOFAHRER WIRD 
STATT DESSEN MIT 
DER ALTERNATIV- 
LOSEN "VERKEHRS- 
INFRASTRUKTURAB- 
GABE" EINGEFÜHRT. 
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